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Vorwort 

Das Internet ist allgegenwärtig und dringt in nahezu alle Bereiehe des tägliehen Le- 
bens ein. Viele gesellschaftliehe, wirtschaftliche und politische Prozesse sind ohne 
das Internet und seine Infrastruktur nicht mehr denkbar. Daraus leiten sich zwei For- 
derungen ab: Jeder braucht einen leistungsfähigen Zugang zum Internet und Daten, 
Systeme und Infrastrukturen müssen vor Intemetkriminalität, Spionage und Sabo- 
tage geschützt werden. 

Zu diesen Aspekten haben wir in der Projektgruppe Zugang, Struktur und Sicherheit 
im Netz in 16 Sitzungen eine umfangreiche und - mit wenigen Ausnahmen - kon- 
sensuale Bestandsauthahme erarbeitet. Darüber hinaus haben wir der Enquete-Kom- 
mission am 14. Januar 2013 eine Vielzahl an Handlungsempfehlungen präsentiert. 
Erfreulicherweise konnten auch hier mehrere gemeinsame Positionen gefunden wer- 
den. Wo dies nicht möglich war, wurden Sondervoten abgegeben. 

Der vorliegende Bericht behandelt zwei große Themenfelder: Zugang zum Internet 
und Infrastruktur des Internets sowie Sicherheit im Netz. 

In ersterem hat sich die Projektgruppe mit der Breitbandversorgung und -Verfügbar- 
keit in Deutschland auseinandergesetzt. Zudem wurden die Sicherheitsaspekte, die 
bei der Einführung des neuen technischen Übertragungsstandards - dem Intemetpro- 
tokoll in der Version 6, kurz IPv6 - zu beachten sind, sehr ausführlich diskutiert. 
Hierzu wurde am 21. Mai 2012 im Rahmen eines öffentlichen Expertengesprächs 
externer Sachverstand beteiligt. 

Das zweite Themenfeld - Sicherheit im Netz - wurde in vier Bereiche aufgeteilt: 
Schutz Kritischer Infrastrukturen im Internet, Kriminalität im Internet, Spionage und 
Sabotage. Auch hier bezogen wir den Rat externer Experten ein: Am 28. November 
2011 führten wir ein öffentliches Expertengespräch zum Thema Sicherheit im Netz 
sowie am 5. März 2012 ein nicht öffentliches Gespräch zur Intemetkriminalität 
durch. 

Bei den Experten bedanke ich mich im Namen der Projektgmppe an dieser Stelle 
noch einmal für ihre wertvollen Hinweise, die zur Meinungsbildung beigetragen ha- 
ben und den vorliegenden Bericht bereichern. 

Auch die Bürgerinnen und Bürger waren aufgefordert, sich über die Online-Beteili- 
gungsplattform enquetebeteiligung.de in die Projektgmppenarbeit einzubringen. Ich 
danke allen, die uns ihre Vorschläge haben zukommen lassen. Dass die Projekt- 
grappe einstimmig beschlossen hat, diese im Bericht abzubilden, freut mich. 

Die Arbeitsatmosphäre in der Projektgmppe war stets sehr konstmktiv und von in- 
tensiven Diskussionen geprägt, trotz oder vielleicht gerade wegen der teilweise un- 
terschiedlichen Auffassungen. Dafür bedanke ich mich bei allen Mitgliedern ganz 
herzlich. 

Mein Dank gilt auch den Mitarbeiterinnen und Mitarbeitern der Fraktionen sowie der 
Abgeordneten und Sachverständigen, die wesentlich zum Gelingen unserer Arbeit 
beigetragen haben. Besonderer Dank gebührt auch dem Sekretariat der Enquete- 
Kommission, namentlich Frau Silvia Saupe, für die hervorragende fachliche und or- 
ganisatorische Unterstützung. 

Ich persönlich wünsche mir, dass der vorliegende Bericht seinem Auftrag gerecht 
wird und der Politik Handlungsfelder aufzeigt, um die alles entscheidende Frage zur 
Sicherheit im Netz im gesellschaftlichen Konsens zu beantworten: Wie viel Sicher- 
heit braucht unsere Freiheit im Netz, damit sie sich entfalten kann? 


Harald Lemke, Sachverständiger 

Vorsitzender der Projektgmppe 
Zugang, Struktur und Sicherheit im Netz 
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Kapitel 1 

Zugang zum Internet und Infrastruktur 
des Internets 

1 Einleitung 

Die Infrastruktur des Internets sowie die damit verbunde- 
nen teehnischen Standards und Kooperationsprozesse ha- 
ben sieh zunäehst in einem nieht kommerziellen Rahmen 
entwiekelt. Das Netz war zu Beginn ein reines For- 
sehungsnetz. Die Intemetstandards und RFCs (Request 
for Comments)' sind auf der Basis freier Entwieklung 
entstanden und wurden später im freien und wettbewerb- 
liehen Zusammenspiel der versehiedenen Beteiligten wei- 
terentwickelt. Der Staat war eher als Teilnehmer beim 
Aufbau dieser Infrastruktur - zunächst im militärischen 
Bereich, später insbesondere im Forschungsbereich - be- 
teiligt, weniger aber durch politisch-regulatorische Steue- 
rung. 

In der Bundesrepublik Deutschland kommt dem Staat ge- 
mäß Artikel 87f Absatz 1 des Grundgesetzes (GG) ein 
Verfassungsauftrag zu, „angemessene und ausreichende 
Dienstleistungen“ bei der Telekommunikationsinfrastruk- 
tur zu gewährleisten. Zu erbringen sind diese Dienstleis- 
tungen jedoch gemäß Artikel 87f Absatz 2 GG durch 
private Anbieter oder aber durch die aus dem Sonderver- 
mögen der Deutschen Bundespost hervorgegangenen Un- 
ternehmen. 

Auf europäischer Ebene „trägt die Union zum Auf- und 
Ausbau transeuropäischer Netze in den Bereichen der 
Verkehrs-, Telekommunikations- und Energieinfrastruk- 
tur bei“.2 Angesichts der heutigen Bedeutung des Inter- 
nets für alle Lebensbereiche fällt auch die Infrastruktur 
des Internets in Deutschland und Europa unter diese 
grundsätzlichen Vorgaben. Ungeachtet dieser Gewähr- 
leistungsfunktion des Staates hat sich das Internet aber 
seit seinen Anfängen vorrangig aufgrund von freiwilli- 
gen, offenen technischen Standards und Kooperationsver- 
einbarungen der verschiedenen Beteiligten weiterentwi- 
ckelt. Regulatorische Eingriffe für einen Ausbau waren 
weitestgehend nicht erforderlich. In der Folge konnte sich 
eine dezentrale technische Struktur des Netzes entwi- 
ckeln, die durch internationale Govemance-Formen ver- 
waltet wird, welche auf Kooperation und breite Beteili- 
gung sowie Standards und Normen setzen.^ Es darf daher 
mit Recht bezweifelt werden, ob es eine vergleichbare de- 


• Unter Request for Comments (RFC) werden Dokumente verstanden, 
die technische und organisatorische Spezifikationen sowie Richtli- 
nien über das Internet enthalten. Nur RFCs, die von der Internet En- 
gineering Task Force (lETF) verabschiedet wurden, haben einen 
normativen Charakter und gelten als Intemetstandard. Nähere Infor- 
mationen zu RFCs sind online auf den Seiten der lETF abzurufen un- 
ter: http://www.ietf org/ beziehungsweise http://www.rfc-edi tor.org/ 

^ Artikel 170 Absatz 1 Vertrag über die Arbeitsweise der Europäischen 
Union (AEUV). 

^ Das Thema „Govemance“ ist Gegenstand der Beratungen der Pro- 
jektgruppe Internationales und Internet Govemance der Enquete- 
Kommission Internet und digitale Gesellschaft. Siehe hierzu: Bun- 
destagsdrucksache 17/12480: Elfter Zwischenbericht der Enquete- 
Kommission Internet und digitale Gesellschaft. Internationales und 
Internet Govemance. Online abmfbar unter: http://dipbt.bundestag. 
de/extrakt/ba/WP17/246/24667.html. Hinsichtlich des Themas 


zentrale und dynamische Entwicklung des Internets bei 
einer durchgängigen staatlichen oder privatwirtschaftli- 
chen Regulierung und Einflussnahme gegeben hätte. 

Das Prinzip von nur geringen staatlich-regulatorischen 
Eingriffen in die Struktur und die technischen Standards 
des Internets hat sich beim Aufbau des Internets weitge- 
hend bewährt und sollte hinsichtlich dieses Aspekts auch 
Grundlage für seine Weiterentwicklung bleiben.'* Zu- 
gleich hat aber auch die zunehmende Diskussion über 
Netzneutralität gezeigt, dass Fragen des Zugangs und der 
Entgeltregulierung sowie von Missbrauchs- und Diskri- 
minierungsverboten Themenbereiche sind, die Gegen- 
stand staatlicher Regulierung sind beziehungsweise wer- 
den können, um die Diskriminierungsfreiheit im Internet 
in Deutschland auch weiterhin zu gewährleisten.^ 

Im Bereich der technischen Standardisierung und der Ein- 
führung neuer Protokolle, die exemplarisch an der Ein- 
führung des Intemefprofokolls Version 6 (IPv6) befrachtef 
wird, kommt dem Staat nur eine begleitende Rolle zu 
(siehe hierzu Kapitel 1/2). Eine stärker ordnende Funk- 
tion hat der Staat jedoch im Bereich des Intemetzugangs 
zu übernehmen, wenn es darum geht, einen fünktionsfähi- 
gen Wettbewerb in diesem üblicherweise auch national 
begrenzten Markt zu gewährleisten und gerade auch hier- 
durch die Verfügbarkeit einer leistungsfähigen Zugangs- 
infrastruktur zu sichern (siehe hierzu Kapitel 1/3). 

2 Einführung und Auswirkungen 

neuer Protokolle 

2.1 Förderung der Einführung 

neuer Protokolle 

Die Einführung und Verbreitung neuer Protokolle voll- 
zieht sich heute im Zusammenwirken von Wirtschaft, 
Wissenschaft und Politik unter Beteiligung der relevanten 
Standardisierungsgremien wie zum Beispiel der Internet 
Engineering Task Force (lETF), der International Tele- 
communication Union (ITU) oder des Institute of Electri- 
cal and Electronics Engineers (IEEE) sowie dem World 
Wide Web Consortium (W3C). Die dort etablierten brei- 
ten Beteiligungsstrukturen für alle interessierten Grup- 
pen, einschließlich der Nutzer, stellen weitestgehend si- 
cher, dass die Interessen aller zu einem bestmöglichen 
Ausgleich gebracht werden. Die Schaffung offener Stan- 
dards bietet dabei eine wichtige Grundlage für die Weiter- 


„Standards und Normen“ sei auf den Bericht der Projektgruppe Inter- 
operabilität, Standards, Freie Software der Enquete-Kommission 
Internet und digitale Gesellschaft verwiesen. Siehe hierzu: Bundes- 
tagsdrucksache 17/12495: Zehnter Zwischenbericht der Enquete- 
Kommission Internet und digitale Gesellschaft. Interoperabilität, 
Standards, Freie Software. Online abrufbar unter: http://dipbt.bundes 
tag.de/extrakt/ba/WP 1 7/246/24667. html 

Der Schutz des Internets als Kritische Infrastruktur für grundlegende 
Dienste der Daseinsvorsorge und der Aufrechterhaltung des Wirt- 
schaftskreislaufes stellt hingegen eine gesamtgesellschaftliche Auf- 
gabe dar und erfordert ein Zusammenwirken von Staat, Wirtschaft 
und Gesellschaft. Siehe hierzu ausführlich Kapitel 2/1. 

^ Zum Thema „Netzneutralität“ siehe Bundestagsdrucksache 17/8536: 
Vierter Zwischenbericht der Enquete-Kommission Internet und digi- 
tale Gesellschaft. Netzneutralität. 2. Februar 2012. Online abrufbar 
unter: http://dipbt.bundestag.de/dip21/btd/17/085/1708536.pdf 
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entwicklung des Internets und ist grundsätzlich auch im 
Interesse der Nutzer. 

Dem Staat kommt eine begleitende Rolle zu, um solche 
Standardisierungen zu fordern und nur bei Bedarf eventu- 
ell problematischen Folgewirkungen entgegenzuwirken. 

Verpflichtende staatliche Planungen oder Vorgaben zur 
Umstellung von Protokollen ohne Berücksichtigung der 
Marktsituation haben in der Vergangenheit nicht immer 
zum angestrebten Ergebnis geführt. Beispiele dafür sind 
das Open Systems lnterconnection(OSl)-Referenzmodell 
sowie der Standard X.400 zur Übertragung elektronischer 
Nachrichten. 

Die International Organization for Standardization (ISO) 
hat das ISO/OSl-Schichtenmodell als abstraktes Modell 
der Datenübertragung zwischen offenen, heterogenen 
Netzwerken entwickelt (festgeschrieben 1984 in der ISO- 
Norm 7489). Dieses bildet den Prozess des Datenaustau- 
sches in sieben einzelnen, aufeinander aufbauenden 
Schichten ab. Ziel war die Entwicklung von standardi- 
sierten Kommunikationsprotokollen, da zu dieser Zeit 
vorwiegend proprietäre und miteinander nicht kompatible 
Protokolle existierten.® Bereits vor der Entwicklung des 
ISO/OSl-Schichtenmodells entstand jedoch das Trans- 
mission Control Protocol/lntemet Protocol(TCP/lP)-Re- 
ferenzmodell (RFC 1122).’^ Dieses basierte im Gegensatz 
zum theoretisch entworfenen ISO/OSl-Schichtenmodell 
auf der dem Internet zugrunde liegenden TCP/lP-Proto- 
kollfamilie, welche sich bereits vor der Definition des 
Modells praktisch bewährt hatte.* Infolgedessen setzte 
sich das TCP/lP-Referenzmodell durch.^ 

Wie das ISO/OSl-Schichtenmodell konnte sich auch die 
X.400-Norm (Message Handling System) nicht als allge- 
meiner Standard zur Übermittlung von E-Mails etablie- 
ren. X.400 wurde 1984 von der ISO und dem CCITT 
(Comite Consultatif International Telephonique et Tele- 
graphique, heute International Telecommunication Union 
- Telecommunication Standardization Sector, ITU-T) als 
Protokoll der Anwendungsschicht des ISO/OSl-Schich- 
tenmodells herausgegeben. Heute findet X.400 vorwie- 
gend Anwendung als sicherer Übertragungsstandard für 
Geschäftskommunikation. 

ln der Regel erfolgt eine Einführung neuer Protokolle 
schrittweise. Die Vorgängerversionen neuer Protokolle 
sind noch für einen längeren Zeitraum im Parallelbetrieb 
nutzbar oder können alternativ über so genanntes Tunnel- 
ing von den neuen Protokollen genutzt werden. Es hat 
sich gezeigt, dass daher eine Unterstützung öffentlicher 


^ Vgl. Meinel, Christoph/Sack, Harald: Intemetworking - Technische 
Grundlagen und Anwendungen. 2012, S. 41 f. 

7 Vgl. ebd., S. 53. 

8 Vgl. ebd., S. 51 f. 

9 Vgl. ebd., S. 42. 

Siehe hierzu beispielsweise das Angebot BusinessMail X.400 der 
Deutschen Telekom AG. Online abrufbar unter: http://geschaeftskun 
den.telekom.de/cloud/business-mail-x-400-electronic-data-interchange- 
edi-daten/45270 


Stellen oder gemeinnütziger Einrichtungen für die mit ei- 
ner Umstellung notwendigen Investitionen nur in Aus- 
nahmefällen erforderlich ist. Aufgrund eines fließenden 
Übergangs können die technologischen Neuerungen in 
die üblichen Investitionszyklen integriert werden. 

Für die Umstellung auf lPv6 hat zum Beispiel die Bun- 
desstelle für Informationstechnik (BIT) - der zen- 
trale IT-Dienstleister der Bundesverwaltung - ein Bera- 
tungsprodukt zu lPv6 eingeführt. Über dieses wird 
Bundesbehörden gebündeltes Fachwissen beim Einsatz 
und der Optimierung von lPv6-relevanten IT-Prozessen 
aus verschiedenen Kompetenzfeldem (beispielsweise 
Technik oder Organisation) und umfassende Erfahrungen 
aus einer Vielzahl erfolgreicher Projekte zugänglich ge- 
macht. Ähnliche Aktivitäten für den Bereich Sicherheit 
im Umfeld von lPv6 finden über das Bundesamt für Si- 
cherheit in der Informationstechnik (BSl) durch die Ver- 
öffentlichung eines Leitfadens fiir eine sichere IPv6-Netz- 
werkarchitektur^^ statt. 

2.2 Absicherung gegenüber potenziell 
negativen Effekten 

ln einzelnen Bereichen kann es aber tatsächlich notwen- 
dig sein, dass der Staat auf drohende Negativfolgen neuer 
Standards hinweist und auf einen gebotenen Schutz der 
Interessen aller Beteiligter hinwirkt. Dies kann je nach 
Art und Gestaltung des technischen Standards unter- 
schiedliche Bereiche betreffen. 

2.2.1 Auswirkung auf den Wettbewerb 

Negative Auswirkungen kann die Oktroyierung neuer 
Standards durch Einzelne, Gruppen, den Staat oder beson- 
ders marktmächtige Unternehmen haben. Kleinere Wett- 
bewerber, Anbieter von Diensten oder Produkten in Ni- 
schenmärkten beziehungsweise auch nicht kommerzielle 
Beteiligte könnten hiervon besonders betroffen sein. 

Sofern nicht schon die etablierten Strukturen oder der 
Markt dazu führen, dass neue Standards offen und diskri- 
minierungsfrei allen Marktbeteiligten zur Verfügung sfe- 
hen und ihre Anwendung keinen Beteiligten diskrimi- 
niert, ist deshalb im Einzelfall ein Einschreiten der 
Wettbewerbsbehörden oder auch ein legislatives Handeln 
des Staates zur Sicherung eines fairen Wettbewerbs denk- 
bar. 

Gleichzeitig darf aber der Schutz überholter Geschäfts- 
modelle und Technologien nicht der notwendigen techni- 
schen Fortentwicklung im Wege stehen. Schutzanordnun- 
gen müssen sich folglich auf möglichst geringe Eingriffe 
wie etwa die Anordnung von Übergangszeiten beschrän- 
ken. 


** Siehe hierzu: Bundesamt für Sicherheit und Informationstechnik: 
Leitfaden für eine sichere IPv6-Netzwerkarchitektur(ISi-L-IPv6). 
BSI-Leitlinie zur Internet-Sicherheit (ISi-L). Version 1.1. 2012. 
URL: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Inter 
netsicherheit/isi_lana_leitfaden_IPv6_pdfpdf? blob=publicationFile 
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2.2.2 Exkurs: Sicherheitsaspekte bei der 

Einführung des neuen internet- 
protokoiis Version 6 (iPv 6 )i 2 

Der vorliegende Exkurs zeigt nach einer kurzen techni- 
schen Einführung die mit lPv6 verbundenen Chancen und 
Herausforderungen auf, wobei der Aspekt der Sicherheit 
im Vordergrund steht. 

2.2.2. 1 Einführung 

2.2.2. 1.1 Das internetprotokoii Version 4 (iPv4) 

Das Internetprotokoii (IP) ist verantwortlich für den 
Transport von Datenpaketen zwischen den an das Internet 
angeschlossenen Endgeräten - beispielsweise einem 
Computer oder Smartphone. Damit die Datenpakete zum 
richtigen Ziel geleitet werden (englisch: routing), wird je- 
der Netzwerkschnittstelle (englisch: Interface) eine ein- 
deutige Adresse zugewiesen: die IP-Adresse. 

Das aktuell verwendete Internetprotokoii Version 4, kurz 
lPv4, entstand bereits vor über 30 Jahren. Die darauf ba- 
sierenden lPv4-Adressen umfassen 32 Bit, wodurch rein 
rechnerisch knapp 4,3 Milliarden Adressen ( 2 ^^) ^ur An- 
bindung von Endgeräten an das Internet zur Verfügung 
sfehen - abgesehen von Adressbereichen, die für beson- 
dere Zwecke reserviert'^ oder in der Anfangszeit des In- 
ternets großzügig an Unternehmen oder Regierungsbe- 
hörden vergeben wurden. 

2.2.2. 1.2 Vergabe der IP-Adressen 

Die Internet Assigned Numbers Authority (lANA) - welt- 
weit zuständig für die Verwaltung der IP-Adressen - ver- 
gibt IP-Adressen in großen, zusammenhängenden Blö- 
cken an die fünf regionalen Registrierungsorganisationen 
(Regional Internet Registries, RIR)'^. Diese unterteilen die 
Adressblöcke wiederum in kleinere Segmente, die sie ih- 
ren Mitgliedern, den Local Internet Registries (LIR), zu- 
weisen. Die meisten LIR, welche letztendlich IP-Adressen 
an Endkunden vergeben, sind Internet Service Provider 
(ISP), Unternehmen und Behörden.'^ 


•2 Die Mitglieder der Projektgruppe danken den sachverständigen An- 
hörpersonen des Expertengesprächs zum Thema „IPv6 - Sicher- 
heitsaspekte“ für ihre zahlreichen Hinweise und Anregungen. Es sei 
an dieser Stelle auch auf die Stellungnahmen der Experten verwie- 
sen. Online abrufbar unter: http://www.bundestag.de/intemetenquete/ 
dokumentation/Zugang_Struktur_und_Sicherheit_im_Netz/PGZu 
StrSi 2012-05-2 l oeffentliches Expertengespraech/index.jsp 
IPv4 wurde 1981 definiert in RFC 791 - Internet Protocol defi- 
niert. September 1981. Online abmfbar unter: http://tools.ietf.org/ 
html/rfc791 

*4 Einen Überblick liefert RFC 5735 - Special Use IPv4 Addresses. Ja- 
nuar 2010. Online abmfbar unter: http://tools.ietf.org/html/rfc5735 
Vgl. lANA: lANA IPv4 Address Space Registry. Online abmfbar un- 
ter: http://www.iana.org/assignments/ipv4-address-space/ipv4-address- 
space.xml 

Die fünf RIR sind für die Region Afrika AfriNIC, für die Region 
Asien/Pazifik APNIC, für die Region Europa, den Nahen Osten und 
Zentralasien RIPE NCC, für die Region Lateinamerika und die Kari- 
bik LACNIC und für die Region Nordamerika ARIN. 

1^ Ein Überblick über alle LIR, die in Deutschland tätig sind, kann on- 
line abgemfen werden unter: https://www.ripe.net/membership/indi 
ces/DE.html 


2.2.2. 1.3 IPv4-Adressknappheit 

Im Februar 2011 hat die lANA die letzten fünf /8-Adress- 
blöcke'* an die RIR verteilt. Der IPv4-Adressvorrat ist 
damit erschöpft.'^ Die für Europa zuständige regionale 
Registrierungsorganisation RIPE hat im September 2012 
begonnen, die letzten ihr zur Verfügung stehenden IPv4- 
Adressen zu vergeben. Laut RIPE ist es „now imperative 
that all stakeholders deploy IPv6 on their networks to en- 
sure the continuity of their online operations and the fu- 
ture growth of the Intemet“.2o Schließlich steigt der Be- 
darf an IP-Adressen stetig an, da Entwicklungen wie die 
mobile Intemetnutzung, das Internet der Dinge und das 
Internet der Energie für jedes Gerät, das mit dem Internet 
verbunden wird, eine eigene IP-Adresse beanspruchen. 

2.2.2. 1.4 Das Internetprotokoll 
Version 6 (IPv6) 

Da bereits abzusehen war, dass der mit IPv4 zur Verfü- 
gung sfehende Adressraum in wenigen Jahren erschöpft 
sein würde, hat die lETF in den 1990er Jahren mit der 
Entwicklung eines neuen Protokolls begonnen: dem In- 
temetprotokoll Version 6, kurz IPvö.^' 

Mit der Umstellung auf IPv6 vergrößert sich der Adress- 
raum um ein Vielfaches. IPv6-Adressen bestehen aus 
128 Bit, wodurch künftig 340 Sextillionen Adressen (2'28) 
zur Verfügung sfehen. 

2.2.2. 1.5 Aufbau von IPv6-Adressen 

IPv6-Adressen setzen sich aus drei Bereichen zusammen: 
dem Global-Routing-Präfix und dem Subnetz Identifier, 
welche zusammen ein 64 Bit umfassendes Netzwerk-Prä- 
fix bilden, sowie dem Interface Identifier .22 


Die CIDR-Notation oder auch Präfix-Notation basiert auf dem Ver- 
fahren des Classless Inter-Domain Routing (CIDR). Demnach wird 
eine IP-Adresse in ein Präfixteil und einen Hostteil aufgeteilt. Ein 
/8-Präfix umfasst einen zusammenhängenden IPv4-Adressblock von 
über 16 MillionenIP-Adressen. CIDR ist in RFC 4632 - Classless 
Inter-Domain Routing (CIDR): The Internet Address Assignment 
and Aggregation Plan definiert. August 2006. Online abmfbar unter: 
http://tooIs.ietf org/html/rfc4632 

*9 Vgl. RIPE NCC: RIPE NCC Receives Final /8 of IPv4 Address 
Space from lANA. 3. Febmar 2012. Online abmfbar unter: http:// 
www.ripe.net/intemet-coordination/news/announcements/ripe-ncc-re 
ceives-final-8-of-ipv4-address-space-from-iana 

20 Vgl. RIPE NCC: RIPE NCC Begins to Allocate IPv4 Address Space 
From the Last /8. 14. September 2012. Online abmfbar unter: 
http://www.ripe.net/intemet-coordination/news/ripe-ncc-begins-to- 
allocate-ipv4-address-space-from-the-last-8 

2* IPv6 wird definiert in RFC 2460 - Internet Protocol, Version 6 (IPv6) 
- Specification. Dezember 1998. Online abmfbar unter: http:// 
tools.ietforg/html/rfc2460 

22 Unter IPv6 stehen je nach Verwendungszweck drei Arten von IPv6- 
Adresstypen zur Verfügung: Unicast, Anycast und Multicast. Uni- 
cast-Adressen gliedern sich wiedemm in mehrere Untertypen auf 
Wird innerhalb dieses Berichts von IPv6-Adressen gesprochen, so 
sind Global-Unicast-Adressen gemeint. Zum Aufbau von IPv6- 
Adressen vgl. RFC 4291 - IP Version 6 Addressing Architecture. Fe- 
bmar 2006. Online abmfbar unter: http://tools.ietf org/html/rfc4291 

23 Vgl. RFC 2460 - Internet Protocol, Version 6 (IPv6) - Specifica- 
tion. Dezember 1998. Online abmfbar unter: http://tools.ietf.org/ 
html/rfc2460 
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Abbildung 1 

Aufbau vou IPv6-Adresseu^3 


bilden zusammen das Netzwerk-Präfix (64 Bit) 

identifiziert die Netzwerkschnittstelle (64 Bit) 

Global-Routing-Präfix 

Subnetz ID 

Interface ID 

besteht aus n Bits 

besteht aus m Bits 

besteht aus 128 - n - m Bits 


Global Routiug Präfix: identifiziert den vom ISP zugewiesenen Bereich 
Subnetz ID: durch den Endkunden zugewiesen 

Interface ID: entweder automatisch aus der MAC-Adresse des Endgerätes abgeleitet oder per Zufall 

durch die Aktivierung der Privacy Extensions generiert 


Die regionale Registrierungsorganisation RIPE hat eine 
Richtlinie^'* hinsichtlich der Verteilung und Zuweisung 
von lPv6-Adressen erlassen. Danach erhalten die LIR 
von der RIPE Global-Routing-Präfixe der Größe /32, das 
heißt die ersten 32 Bit des 64 Bit umfassenden Netzwerk- 
Präfix sind fest vorgegeben; die restlichen 32 Bit stehen 
zur Bildung von Teilnetzen zur Verfügung. ^5 Ein LIR 
-beispielsweise ein Internet Service Provider - vergibt 
den ihm zugewiesenen lPv6-Adressraum wiederum nach 
eigenen Regeln^'^ an seine Endkunden, wobei Global- 
Routing-Präfixe der Größe /56 sowie /48 bevorzugt zuge- 
teilt werden. 27 

Der zweite Teil einer lPv6-Adresse, der Subnetz Identi- 
fier, kann vom Endkunden frei gewählt werden. Je nach 
Größe des Global-Routing-Präfix, welches der Endkunde 
von seinem ISP erhalten hat, können mehrere eigene Teil- 
netze gebildet werden. Dies kann beispielsweise für Un- 
ternehmen relevant sein, die für jeden Standort ein eige- 
nes Netzwerk einrichten wollen. Ausgehend von einem / 
56-Präfix stehen 8 Bit zur Bildung eigener Subnetze zur 
Verfügung - dies entspricht 256 Subnetzen mit jeweils 2^^ 
lPv6-Adressen. 

Die letzten 64 Bit einer lPv6-Adresse bilden den Interface 
Identifier. Dieser dient dazu, ein Endgerät innerhalb eines 
Netzwerks eindeutig zu identifizieren. Die Vergabe des 
Interface Identifier erfolgt automatisch, wobei zu dessen 


7'' Vgl. RIPE NCC: IPv6 Address Allocation and Assignment Policy. 
21. Mai 2012. Online abrufbar unter: http://www.ripe.net/ripe/docs/ 
ripe-552 

In Einzelfällen können auch kürzere Präfixe vergeben werden. Vgl. 
RIPE: IPv6 Address Allocation and Assignment Policy, Absatz 4.3. 
Minimum allocation sowie 4.4. Consideration of IPv4 infrastructure. 
Online abrufbar unter: http://www.ripe.net/ripe/docs/ripe-552 
26 In RFC 3 177 - lAB/IESG Recommendations on IPv6 Address Allo- 
cations to Sites wurde die Vergabe von /48-Präfixen empfohlen. Die 
lETF hat diese Empfehlung in RFC 6177 relativiert, da ein /48-Präfix 
möglicherweise nicht den Anforderungen jedes Endkunden ent- 
spricht. Siehe hierzu: RFC 3177 - lAB/IESG Recommendations on 
IPv6 Address Allocations to Sites. September 2001. Online abrufbar 
unter: http://tools.ietf org/html/rfc3 177 sowie RFC 6177 - IPv6 
Address Assignment to End Sites. März 2011. Online abrufbar unter: 
http://tools.ietforg/html/rfc6177 

22 Vgl. RIPE NCC: Understanding IP Adressing. Online abrufbar unter: 
http://www.ripe.net/intemet-coordination/press-centre/understanding- 
ip-addressing 


Bildung zwei Optionen^* zur Verfügung stehen: Bildung 
auf Basis der weltweit einmaligen Media-Access-Con- 
trol(MAC)-Adresse des Endgerätes^^ oder Bildung auf 
Basis regelmäßig neu erzeugter Zufallszahlen mittels Pri- 
vacy Extensions. 

2.2.2. 1.6 Technische Neuerungen von 
IPv6 gegenüber IPv4 

Neben dem stark vergrößerten Adressraum gehen mit 
IPv6 diverse technische Neuerungen einher.^* Dies sind 
u. a.:22 


2^ Neben den im Text genannten Optionen gibt es unter bestimmten Vo- 
raussetzungen weitere Möglichkeite den Interface Identifier zu er- 
zeugen. Siehe dazu Anhang 1 des RFC 4291 - IP Version 6 Addres- 
sing Architecture. Febmar 2006. Online abmfbar unter: http:// 
tools.ietforg/html/rfc4291 

29 Die Bildung des Interface Identifier erfolgt nach dem vom IEEE defi- 
nierten Modified-EUI-64-Format. Siehe dazu RFC 4291 - IP Versi- 
on 6 Addressing Architecture. Februar 2006. Online abmfbar unter: 
http://tools.ietf.org/html/rfc4291 sowie die EUI-64 Guidelines der 
IEEE. 1. November 2012. Online abmfbar unter: http: //Standards. 
ieee.org/develop/regauth/tut/eui64.pdf 

29 Die Bildung des Interface Identifier auf Basis der Privacy Extensions 
wird in RFC 4941 definiert. Siehe hierzu: RFC 4941 - Privacy Ex- 
tensions for Stateless Address Autoconfiguration in IPv6. September 
2007. Online abmfbar unter: http://tools.ietf org/html/rfc4941 

21 Im öffentlichen Expertengespräch der Projektgmppe zum Thema 
„IPv6 - Sicherheitsaspekte“ wurde darauf hingewiesen, dass „viele 
der neuen Funktionen von IPv6 [...] im Laufe der Zeit auch in IPv4 
als Workaround eingebaut worden [sind].“ Beispielhaft vmrde „die 
Internet Protocol Security (IPsec), welche heutzutage zur Verschlüs- 
selung von Kommunikation im Internet und zwischen Standorten 
von Unternehmen verwendet werde“, genannt. 

Protokoll des öffentlichen Expertengesprächs zum Thema „IPv6 - 
Sicherheitsaspekte“ der Projektgmppe Zugang, Struktur und Sicher- 
heit im Netz der Enquete-Kommission Internet und digitale Gesell- 
schaft des Deutschen Bundestages vom 21. Mai 2012, S. 10, 11 und 
14. Online abmfbar unter: http://www.bundestag.de/interaetenquete/ 
dokumentation/Zugang_Struktur_und_Sicherheit_im_Netz/PGZuStr 
Si_20 1 2-05-2 1 oeffentliches_Expertengespraech/PGZuStrSi_20 1 2- 
05-21_Protokoll.pdf 

22 Zu den Vorteilen von IPv4 gegenüber IPv6 vgl. Bundesministerium 
für Wirtschaft und Technologie: Strategiepapier zur Fördemng der 
Einfuhmng von IPv6 - AG2 Sonderthemengmppe „Einfühmng von 
IPv6“. Nationaler IT-Gipfel München 201 1. November 2011, S. 9. 
Online abmfbar unter: http://viww.it-gipfel.de/IT-Gipfel/Redaktion/ 
PDF/strategiepapier-ag-2,property=pdf,bereich=itgipfel,sprache=de, 
rwb=tme.pdf 
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- Wiederherstellung des Ende-zu-Ende-Prinzips: Da 

durch lPv6 jedem Gerät eine individuelle IP-Adresse 
zugewiesen werden kann, ist die Verwendung des Net- 
work Address Translation (NAT)-Verfahrens nicht 
mehr notwendig. Das NAT- Verfahren widerspricht 
dem ursprünglichen Gedanken der direkten Erreich- 
barkeit eines Rechners im Internet. Es wurde jedoch 
entwickelt, um der Adressknappheit unter lPv4 zu be- 
gegnen. Mittels NAT, welches üblicherweise auf ei- 
nem Router implementiert ist, werden die privaten IP- 
Adressen eines Netzwerks, beispielsweise eines Un- 
ternehmens, durch eine öffentliche Adresse ersetzt. 
Die einzelnen Geräte kommunizieren somit über die- 
selbe IP-Adresse ins Internet und werden durch NAT 
hinter dem Router quasi „versteckt“. Dadurch sind sie 
über das Internet nicht direkt ansprechbar. 

Dies ändert sich mit lPv6: Durch den mit der Einfüh- 
rung von lPv6 einhergehenden Wegfall von NAT ist 
eine direkte Kommunikation zwischen mehreren 
Rechnern wieder möglich. Da nun das Zwischenschal- 
ten eines fremden Servers zur Herstellung der Verbin- 
dung nicht mehr erforderlich ist, erhöht sich durch die 
Möglichkeit der Ende-zu-Ende- Verschlüsselung auch 
die Sicherheit bei der Kommunikation. Die direkte 
Adressierung eines Geräts ist zudem für Entwicklun- 
gen wie dem Internet der Dinge^^ von besonderer Be- 
deutung. 

- Autokonfiguration: Durch die Autokonfiguration^^ 
von Endgeräten und Netzwerkkomponenten wird die 


Sofern die Übersetzung einer privaten in eine öffentliche IP-Adresse 
bereits auf der Ebene des Provider-Netzwerks stattfindet, spricht man 
von Carrier Grade NAT. Vgl. hierzu: Boeddinghaus, Wilhelm/Meinel, 
Christoph/Sack, Harald: Einführung von IPv6 in Untemehmensnet- 
zen. Ein Leitfaden. Technische Berichte Nr. 52 des Hasso-Plattner- 
Instituts für Softwaresystemtechnik an der Universität Potsdam. 
2011, S. 11 f. Online abrufbar unter: http://www.hpi.uni-potsdam.de/ 
fileadmin/hpi/source/Technische_Berichte/HPI_52_ipv6_leitfaden.pdf 
Vgl. Boeddinghaus, Wilhelm/Meinel, Christoph/Sack, Harald: Ein- 
führung von IPv6 in Untemehmensnetzen. Ein Leitfaden. Technische 
Berichte Nr. 52 des Hasso-Plattner-Instituts für Softwaresystemtech- 
nik an der Universität Potsdam. 2011, S. 16 f Online abrufbar unter: 
http://www.hpi.uni-potsdam.de/fileadmin/hpi/source/Technische_Be 
richte/HPI_52_ipv6_leitfaden.pdf sowie Bundesministerium für Wirt- 
schaft und Technologie: Das Intemetprotokoll der Version 6 (IPv6) - 
Chancen und Herausforderungen für den Wirtschaftsstandort 
Deutschland - Abschlussbericht. Juni 2012. S. 11 f. Online abrufbar 
unter: http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/ 
bmwi-intemetprotokoll-ipv6,property=pdf,bereich=bmwi2012,spra 
che=de,rwb=true.pdf 

Siehe zum Begriff Internet der Dinge: Boeddinghaus, Wilhelm/ 
Meinel, Christoph/Sack, Harald: Einführung von IPv6 in Untemeh- 
mensnetzen. Ein Leitfaden. Technische Berichte Nr. 52 des Hasso- 
Plattner-Instituts für Softwaresystemtechnik an der Universität Pots- 
dam. 2011, S. 17 f. Online abmfbar unter: http://www.hpi.uni-pots 
dam.de/fileadmin/hpi/source/Technische_Berichte/HPI_52_ipv6_leit 
faden.pdf sowie Horvarth, Sabine: Aktueller Begriff - Internet der 
Dinge. Deutscher Bundestag - Wissenschaftlicher Dienst - Fachbe- 
reich WD 10 - Kultur, Medien, Sport. 17.07.2012. Online abrufbar 
unter: http://www.bundestag.de/dokumente/analysen/2012/Intemet_ 
der_Dinge.pdf 

Die zustandslose Adresskonfiguration unter IPv6 wird definiert in 
RFC 4862 - IPv6 Stateless Address Autoconfiguration. September 
2007. Online abmfbar unter: http://tools.ietf org/html/rfc4862 


Administration eines Netzwerks erleichtert, da sich 
ein Gerät, welches neu in ein Netzwerk eingebunden 
wird, selbst eine IP-Adresse zuweisen kannZ? Eine 
Adresszuweisung mittels Dynamic Host Configura- 
tion Protocol(DHCP)-Server3* oder eine manuelle 
Konfiguration sind somit nicht erforderlich. Die Funk- 
tion der Autokonfiguration ist beispielweise für Sen- 
sometze^^, aber auch für die Integration verschiedener 
Geräte in ein Heimnetzwerk wichtig. 

- Mobile IPv6: Durch Mobile Ikvö'"’ kann ein Anwen- 
der permanent über „ein mobiles Endgerät mit seinem 
Heimnetzwerk verbunden sein“ und „ohne Unterbre- 
chung in ein anderes Netz [...] wechseln (Roa- 
ming)“."*' 

- Integration von IPsec: Der Sicherheitsstandard Inter- 
net Protocol Security (IPsec)"'^ dient dem „vertrauli- 
chen, integeren und authentifizierten Transport von 
IP-Paketen“''3. Die Nutzung von IPsec war zwar be- 
reits unter IPv4 möglich, musste jedoch manuell im- 
plementiert werden. Unter IPv6 ist IPsec hingegen ein 
integrierter Bestandteil. 

Die Sicherheitsaspekte, die im Zusammenhang mit der 
Vergrößerung des Adressraums, der Wiederherstellung 
des Ende-zu-Ende-Prinzips und dem Wegfall von NAT, 
der Autokonfiguration sowie dem unterbrechungsfreien 
Roaming in ein anderes Netz stehen, werden in Kapitel 1/ 
2. 2. 2. 2. 2 Herausforderungen erläutert. 


Vgl. Hagen, Silvia: IPv6 - Gmndlagen, Funktionalität, Integration. 
2009, S. 124. 

Zur IP-Adresszuweisung mittels DHCP-Server siehe beispielsweise: 
Zisler, Harald: Computer-Netzwerke - Gmndlagen, Funktionsweise, 
Anwendung. 2012, S. 122. 

Vgl. Boeddinghaus, Wilhelm/Meinel, Christoph/Sack, Harald: Ein- 
fühmng von IPv6 in Untemehmensnetzen. Ein Leitfaden. Technische 
Berichte Nr. 52 des Hasso-Plattner-Instituts für Softwaresystemtech- 
nik an der Universität Potsdam. 201 1, S. 18 f. Online abmfbar unter: 
http://www.hpi.uni-potsdam.de/fileadmin/hpi/source/Technische_Beri 
chte/HPI_52_ipv6_leitfaden.pdf sowie Bundesministerium für Wirt- 
schaft und Technologie: Das Intemetprotokoll der Version 6 (IPv6) - 
Chancen und Herausfordemngen für den Wirtschaftsstandort 
Deutschland - Abschlussbericht. Juni 2012, S. 12. Online abmfbar 
unter: http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/ 

bmwi-intemetprotokoll-ipv6,property=pdf,bereich=bmwi2012,sprache 
=de,rwb=tme.pdf 

40 Mobile IPv6 wird definiert in RFC 6275 - Mobility Support in 
IPv6. Juli 2011. Online abmfbar unter: http://tools.ietf.org/html/ 
rfc6275 

41 Protokoll des öffentlichen Expertengesprächs zum Thema „IPv6 - 
Sicherheitsaspekte“ der Projektgmppe Zugang, Struktur und Sicher- 
heit im Netz der Enquete-Kommission Internet und digitale Gesell- 
schaft des Deutschen Bundestages vom 21. Mai 2012, S. 15. Online 
abmfbar unter: http://www.bundestag.de/intemetenquete/dokumen- 
tation/Zugang_Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_20 1 2- 
05-21_oeffentliches_Expertengespraech/PGZuStrSi_2012-05-21_Pro 
tokoll.pdf Siehe auch die Ausfühmgen zu Mobile IPv6 in: Hagen, 
Silvia: IPv6 - Gmndlagen, Funktionalität, Integration. 2009, S. 278 ff. 

42 IPsec wird definiert in RFC 4301 - Security Architecture for the In- 
ternet Protocol. Dezember 2005. Online abmfbar unter: http:// 
tools.ietf org/html/rfc430 1 

43 Eckert, Claudia: IT-Sicherheit: Konzepte - Verfahren - Protokolle. 
7., überarbeitete und erweiterte Auflage 2012, S. 762. 
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2.2.2. 1 .7 Notwendigkeit der Umsteiiung auf iPv6 

Die weltweite Einführung von lPv6 schreitet immer 
schneller voran.''"^ „Zu Beginn wurde die Einführung von 
lPv6 sfark aus Asien heraus gefrieben, da dort verhältnis- 
mäßig wenig lPv4-Adressraum vorhanden war, jedoch 
aufgrund zahlreicher aufstrebender Länder ein enormer 
Adressbedarf entstand. Mittlerweile hat das Thema lPv6 
auch in den USA Fahrt aufgenommen. Dort sind zum ei- 
nen viele Hersteller von Netzwerkkomponenten, Be- 
triebssystemen und weiterer Software mit lPv6-Support 
angesiedelt, zudem treiben seit kurzem viele bekannte 
Content Provider wie Akamai, Google, Facebook oder 
Yahoo! das Thema lPv6 voran. 

Auch in Deutschland ist die Auseinandersetzung mit dem 
Thema lPv6 geboten. Zum einen ist es notwendig, dass 
vor allem die großen deutschen ISP beginnen lPv6 einzu- 
führen."*^ Nur so können die Anwender die zunehmend 
auch über lPv6 angebotenen Dienste nutzen.'*^ „Erst wenn 
[die großen Zugangsprovider] eine nennenswerte Anzahl 
von Endkunden (auch) über lPv6 anbinden, wird sich die 
Gesamtdurchdringung erkennbar erhöhen. Zum ande- 
ren ist die „Einführung von lPv6 in Deutschland auch 
eine Standortfrage. Die deutsche Wirtschaft muss sich 
- insbesondere auch im Hinblick auf Exporte - auf den 
„zukünftigen Bedarf an lPv6-basierten Diensten, Anwen- 
dungen und Geräten“ einstellen, „um so einen drohenden 
Wettbewerbsnachteil auf dem Weltmarkt abzuwenden“. 


Im Jahr 2010 waren weltweit circa 54 Milliarden /56-Präfixe verteilt, 
wohingegen diese Zahl ein Jahr später auf über 159 Millarden ange- 
stiegen ist. Siehe hierzu beispielsweise die Statistik der APNIC zur 
weltweiten Zuweisung von IPv6-Adressen unter http://www.ap 
nic.net/publications/research-and-insights/stats/ipv6-distribution. 
Siehe auch: Kühne, Mirjam: Networks with IPv6 - One Year Later. 
5. Mai 2012. Online abrufbar unter: https://labs.ripe.net/Members/ 
mirjam/networks-with-ipv6-one-year-later 

Pritsche, Wolfgang: Schriftliche Stellungnahme, vorgelegt im Rah- 
men des öffentlichen Expertengesprächs „IPv6 - Sicherheitsaspekte“ 
der Projektgruppe Zugang, Struktur und Sicherheit im Netz der En- 
quete-Kommission Internet und digitale Gesellschaft des Deutschen 
Bundestages vom 21. Mai 2012, S. 2. Online abrufbar unter: http:// 
www.bundestag.de/intemetenquete/dokumentation/Zugang_Struktur_ 
und_Sicherheit_im_Netz/PGZuStrSi_20 1 2-05-2 loeffentlichesEx 
pertengespraech/PGZuStrSi_20 12-05-2 l_Stellungnahme_Fritsche.pdf 
Vgl. Deutscher IPv6 Rat: Nationaler IPv6-Aktionsplan für Deutsch- 
land. Potsdam, 14. Mai 2009, S. 8. Online abmfbar unter: http:// 
www.ipv6council.de/fileadmin/summit09/Aktionsplan.pdf 
Am 6. Juni 2012 fand der World IPv6 Launch Day statt. An diesem 
Tag haben verschiedene Internet Service Provider, Hersteller von 
Netzwerkkomponenten (Router) sowie Inhalteanbieter IPv6 perma- 
nent eingeführt. Zur Übersicht über die Teilnehmer am World IPv6 
Launch Day siehe: http://www.worldipv61aunch.org/participants/ 
Kühn, Ulrich: Schriftliche Stellungnahme, vorgelegt im Rahmen des 
öffentlichen Expertengesprächs „IPv6 - Sicherheitsaspekte“ der Pro- 
jektgmppe Zugang, Stmktur und Sicherheit im Netz der Enquete- 
Kommission Internet und digitale Gesellschaft des Deutschen Bun- 
destages vom 21. Mai 2012, S. 2. Online abmfbar unter: http:// 
www.bundestag.de/intemetenquete/dokumentation/Zugang_Struktur_ 
und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffentliches_Exper 
tengespraech/PGZuStrSi_20 1 2-05-2 1 Stellungnahme_Kuehn.pdf 
Bundesministerium für Wirtschaft und Technologie: Strategiepapier 
zur Fördemng der Einfühung von IPv6 - AG2 Sonderthemengmppe 
„Einfühmng von IPv6“. Nationaler IT-Gipfel München 2011, S. 6. 
Online abmfbar unter: http://www.it-gipfel.de/IT-Gipfel/Redaktion/ 
PDF/strategiepapier-ag-2,property=pdf,bereich=itgipfel,sprache=de, 
rwb=tme.pdf 
50 Ebd. 


2.2.2.2 Chancen und Herausforderungen 
eines Umstiegs auf iPv6 

2.2.2.2.1 Chancen^i 

IPv6 gilt als Voraussetzung für viele innovative Anwen- 
dungen und birgt „ein enormes wirtschaftliches Poten- 
ziaT‘52 Durch IPv6 wird eine zunehmende Entwicklung 
des Internets der Dinge erwartet. Verkehrsmittel, Haus- 
haltsgeräte, Stromzähler, Maschinen usw. werden intelli- 
gent und „können über das Internet eigenständig Informa- 
tionen austauschen, Aktionen auslösen und sich 
wechselseitig steuem“^"^. So entsteht zum Beispiel das 
Smart Home - das intelligente vernetzte Heim. Bereits 
heute bieten Unternehmen kommunikationsfähige Haus- 
haltsgeräte an, die über das hauseigene WLAN oder das 
Internet bedient werden können. Fragen wie „Sind Fens- 
ter und Türen geschlossen? Ist der Herd ausgeschaltet, 
das Bügeleisen auf Null gestellt? Wie warm ist das Was- 
ser im Wasserspeicher? Welche Leistung bringen die So- 
larkollektoren aktuell? Wie hoch ist die Raumtempera- 
tur?“^5 können dann auch von unterwegs beantwortet 
werden. Der vergrößerte Adressraum von IPv6 und die 
Möglichkeit der direkten Kommunikation sind dafür je- 
doch unabdingbar. 

2.2.2.2.2 Herausforderungen 

Die Einführung von IPv6 kann „als Umbau im Maschi- 
nenraum des Intemefs betrachtet werden“. Als solcher 
betrifft er zunächst ISP, Anbieter von Hardware, Endge- 
rätehersteller, Anbieter von Betriebssystemen und An- 
wendungssoftware sowie Dienste- und Inhalteanbieter.^’ 
Es zeichnen sich aber auch Folgewirkungen jenseits der 
unmittelbaren Technologieeinführung ab, die die Rechte 


51 Die Fraktion der SPD und die Sachverständigen Alvar Freude und 
Constanze Kurz haben gegen die Textfassung dieses Kapitels ge- 
stimmt und ein Sondervotum abgegeben (siehe Kapitel 5 Sondervo- 
ten). Die Fraktionen DIE LINKE, und BÜNDNIS 90/DIE GRÜNEN 
sowie die Sachverständige Annette Mühlberg schließen sich diesem 
Sondervotum an. 

52 Bundesministerium für Wirtschaft und Technologie: Das Intemetpro- 
tokoll der Version 6 (IPv6) - Chancen und Herausforderungen für 
den Wirtschaftsstandort Deutschland - Abschlussbericht. Juni 2012, 
S. 7. Online abrufbar unter: http://www.bmwi.de/BMWi/Redaktion/ 
PDF/Publikationen/bmwi-intemetprotokoll-ipv6,property=pdf,bereich 
=bmwi20 1 2,sprache=de,rwb=true.pdf 

53 Vgl. ebd., S. 17. 

54 Ebd. 

55 Boeddinghaus, Wilhelm/Meinel, Christoph/Sack, Harald: Einfüh- 
rung von IPv6 in Untemehmensnetzen. Ein Leitfaden. Technische 
Berichte Nr. 52 des Hasso-Plattner-Instituts für Softwaresystemtech- 
nik an der Universität Potsdam. 2011, S. 18. Online abmfbar unter: 
http://www.hpi.uni-potsdam.de/fileadmin/hpi/source/Technische_Be 
richte/HPI_52_ipv6_leitfaden.pdf 

5^ Protokoll des öffentlichen Expertengesprächs zum Thema „IPv6 - 
Sicherheitsaspekte“ der Projektgmppe Zugang, Struktur und Sicher- 
heit im Netz der Enquete-Kommission Internet und digitale Gesell- 
schaft des Deutschen Bundestages vom 21. Mai 2012, S. 3. Online 
abmfbar unter: http://www.bundestag.de/interaetenquete/dokumen 
tation/Zugang_Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_20 1 2- 
05-21_oeffentliches_Expertengespraech/PGZuStrSi_2012-05-21_Pro 
tokoll.pdf 

52 Vgl. Deutscher IPv6 Rat: Nationaler IPv6-Aktionsplan für Deutsch- 
land. Potsdam, 14. Mai 2009, S. 5. Online abmfbar unter: http:// 
www.ipv6council.de/fileadmin/summit09/Aktionsplan.pdf 
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von Beteiligten, insbesondere der Nutzerinnen und Nut- 
zer, betreffen. 

Die Herausforderungen, die sich den unterschiedlichen 
Akteuren stellen, werden im Folgenden dargestellt. 

2.2.2.2.2.1 IPv6-fähige Hard- und Software 

Bedingt durch die lPv4-Adressknappheit sind die ISP ge- 
zwungen, ihre Netze auf lPv6 umzustellen. Für ISP „ist 
die Migration auf lPv6 komplex und kostspielig“. So 
sind beispielsweise Netzwerkkomponenten auszutau- 
schen, Software anzupassen und Mitarbeiter zu schulen. 
Ein früher und schleichender Umstieg kann sich dabei po- 
sitiv auf die Kosten auswirken. So ist beispielweise bei 
der Neuanschaffung von Hard- und Software darauf zu 
achten, dass diese lPv6 unterstützt, 

Auch Unternehmen und Privatanwender sind gehalten, 
bei der Erneuerung ihrer Hardware, zum Beispiel einem 
Router, darauf zu achten, dass diese lPv6-fahig ist.^' 

Obwohl die Verbreitung von lPv6 immer weiter zunimmt, 
wird die Migration schätzungsweise noch zehn bis 
15 Jahre andauem.® Da lPv4 und lPv6 nicht miteinander 
kompatibel sind, wird es während dieser Zeit zu einem 


Bundesministerium für Wirtschaft und Technologie: Das Intemetpro- 
tokoll der Version 6 (IPv6) - Chancen und Herausforderungen für 
den Wirtschaftsstandort Deutschland - Abschlussbericht. Juni 2012, 
S. 16. Online abrutbar unter: http://www.bmwi.de/BMWi/Redaktion/ 
PDF/Publikationen/bmwi-internetprotokoll-ipv6,property=pdf,be 
reich=bmwi20 1 2,sprache=de,rwb=true.pdf 

Vgl. Protokoll des öffentlichen Expertengesprächs zum Thema 
„IPv6 - Sicherheitsaspekte“ der Projektgruppe Zugang, Struktur und 
Sicherheit im Netz der Enquete-Kommission Internet und digitale 
Gesellschaft des Deutschen Bundestages vom 21. Mai 2012, S. 24. 
Online abrufbar unter: http://www.bundestag.de/intemetenquete/do 
kumentation/Zugang_Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_ 
20 12-05-2 l_oeffentliches_Expertengespraech/PGZuStrSi_2012-05-2 1 
_Protokoll.pdf sowie Turba, Martin: Schriftliche Stellungnahme, 
vorgelegt im Rahmen des öffentlichen Expertengesprächs „IPv6 - 
Sicherheitsaspekte“ der Projektgmppe Zugang, Stmktur und Sicher- 
heit im Netz der Enquete-Kommission Internet und digitale Gesell- 
schaft des Deutschen Bundestages vom 21. Mai 2012. S. 2. Online 
abmibar unter: http://www.bundestag.de/internetenquete/dokumen 
tation/Zugang_Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_20 1 2- 
05-2 l_oeffentliches_Expertengespraech/PGZuStrSi_20 12-05-2 1_ 
Stellungnahme_Turba.pdf 

Vgl. Protokoll des öffentlichen Expertengesprächs zum Thema 
„IPv6 - Sicherheitsaspekte“ der Projektgmppe Zugang, Stmktur und 
Sicherheit im Netz der Enquete-Kommission Internet und digitale 
Gesellschaft des Deutschen Bundestages vom 21. Mai 2012, S. 24. 
Online abmfbar unter: http://www.bundestag.de/intemetenquete/do 
kumentation/Zugang_Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_ 
20 1 2-05-2 1 _oeffentliches_Expertengespraech/PGZuStrSi_20 1 2-05- 
21_Protokoll.pdf 

Im Expertengespräch der Projektgmppe zu „Ipv6 - Sicherheitsapek- 
te“ weißt der Experte Björn A. Zeeb daraufhin, dass Anwender ak- 
tuell nicht wissen, „dass sie beim Neukauf eines Routers bereits nach 
IPv6 schauen müssten“. Protokoll des öffentlichen Expertenge- 
sprächs zum Thema „IPv6 - Sicherheitsaspekte“ der Projektgmppe 
Zugang, Stmktur und Sicherheit im Netz der Enquete-Kommission 
Internet und digitale Gesellschaft des Deutschen Bundestages vom 
21. Mai 2012, S. 25. Online abmfbar unter: http://www.bundestag. 
de/intemetenquete/dokumentation/Zugang_Stmktur_und_Sicherheit_ 
im_Netz/PGZuStrSi_2012-05-21_oeffentliches_Expertengespraech/ 
PGZuStrSi_2012-05-21_Protokoll.pdf 

Vgl. Protokoll des öffentlichen Expertengesprächs zum Thema „IPv6 
- Sicherheitsaspekte“ der Projektgmppe Zugang, Stmktur und Sicher- 


Parallelbetrieb beider Protokolle kommen. Voraussetzung 
für diesen so genannten Dual- Stack-Modus ist, dass die 
miteinander kommunizierenden Geräte sowohl IPv4 als 
auch IPv6 nutzen können. Dazu müssen beide Protokolle 
auf den Geräten implementiert sein. 

Damit das neue Protokoll flächendeckend eingesetzt wer- 
den kann, müssen auch die Router bei den Endkunden 
IPv6 unterstützen. Nur so können die Anwender auch 
neue Dienste, auf die möglicherweise nur über IPv6 zuge- 
griffen werden kann, nutzen. Dies bedeutet zum einen, 
dass die Hersteller von Netzwerkkomponenten^^ in diese 
IPv6 integrieren müssen, und zum anderen, dass die Rou- 
ter bei den Endkunden entweder ausgetauscht oder mit- 
tels Update IPv6-fähig gemacht werden müssen.®"* 

2.2.2.2.2.2 Neue Angriffsvektoren 

Mit der Einführung von IPv6 werden - vor allem in der 
Übergangsphase - teilweise neue Angriffs Vektoren er- 
wartet.®® Die Angriffsfläche ist allerdings aufgrund der 
geringen Verbreitung von IPv6 noch gering. Wie An- 
griffsszenarien genau aussehen werden, kann nicht vor- 
hergesagt werden. Als Ansatzpunkt für künftige Angriffe 
wird beispielsweise die Möglichkeit der Autokonfigura- 
tion gesehen.®® 


heit im Netz der Enquete-Kommission Internet und digitale Gesell- 
schaft des Deutschen Bundestages vom 21. Mai 2012, S. 7, 32. On- 
line abmfbar unter: http://www.bundestag.de/intemetenquete/do ku- 
mentation/Zugang_Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_ 

20 1 2-05-2 l oeffentliches Expertengespraech/PGZuStrSi 20 1 2-05- 

21_Protokoll.pdf 

Siehe hierzu auch Fußnote 47. 

Vgl. Fritsche, Wolfgang: Schriftliche Stellungnahme, vorgelegt im 
Rahmen des öffentlichen Expertengesprächs „IPv6 - Sicherheitsas- 
pekte“ der Projektgmppe Zugang, Stmktur und Sicherheit im Netz 
der Enquete-Kommission Internet und digitale Gesellschaft des 
Deutschen Bundestages vom 21. Mai 2012, S. 1. Online abmfbar 
unter: http://www.bundestag.de/intemetenquete/dokumentation/Zu 
gang_Struktur_und_Sicherheit_im_Netz/PGZuStrSi_20 1 2-05-2 1_ 
oeffentliches_Expertengespraech/PGZuStrSi_20 12-05-2 l_Stellung 
nahme_Fritsche.pdf 

Vgl. hierzu die unterschiedlichen Aussagen der Anhörpersonen des 
Expertengesprächs „IPv6 - Sicherheitsaspekte“. Protokoll des öffent- 
lichen Expertengesprächs zum Thema „IPv6 - Sicherheitsaspekte“ 
der Projektgmppe Zugang, Stmktur und Sicherheit im Netz der En- 
quete-Kommission Internet und digitale Gesellschaft des Deutschen 
Bundestages vom 21. Mai 2012, S. 11, 15, 16. Online abmfbar unter: 
http://www.bundestag.de/internetenquete/dokumentation/Zugang_ 
Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_20 12-05-2 loeffent 
liches_Expertengespraech/PGZuStrSi_2012-05-2 l_Protokoll.pdf so- 
wie Weber, Christoph: Schriftliche Stellungnahme, vorgelegt im 
Rahmen des öffentlichen Expertengesprächs „IPv6 - Sicherheitsas- 
pekte“ der Projektgmppe Zugang, Stmktur und Sicherheit im Netz 
der Enquete-Kommission Internet und digitale Gesellschaft des 
Deutschen Bundestages vom 21. Mai 2012. S. 4. Online abmfbar 
unter: http://www.bundestag.de/intemetenquete/dokumentation/Zu 
gang_Struktur_und_Sicherheit_im_Netz/PGZuStrSi_20 1 2-05-2 1_ 
oeffentliches_Expertengespraech/PGZuStrSi_20 12-05-21 Stellung 
nahme_Weber.pdf Siehe zudem die Ausfühmngen in: Bundesminis- 
terium für Wirtschaft und Technologie: Das Intemetprotokoll der 
Version 6 (IPv6) - Chancen und Herausforderungen für den Wirt- 
schaftsstandort Deutschland - Abschlussbericht. Juni 2012, S. 15. 
Online abmfbar unter: http://www.bmwi.de/BMWi/Redaktion/PDF/ 
Publikationen/bmwi-internetprotokoll-ipv6,property=pdf,bereich= 
bmwi20 12,sprache=de,rwb=tme.pdf 

Vgl. Bundesministerium für Wirtschaft und Technologie: Das Inter- 
netprotokoll der Version 6 (IPv6) - Chancen und Herausfordemngen 
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Eine wesentliche Auswirkung auf die Sicherheit wird im 
Wegfall des NAT- Verfahrens'"^ gesehen.'"* Mit NAT geht 
der positive Nebeneffekt einher, dass eine IP-Adresse 
nicht mehr eindeutig zugeordnet werden kann. Der Rech- 
ner hinter dem Router kann nicht ohne Weiteres identifi- 
ziert werden. Da mit lPv6 jedoch ausreichend viele Ad- 
ressen zur Verfügung stehen, ist die Übersetzung von 
privaten in eine öffentliche IP-Adresse nicht mehr not- 
wendig. Jedes Gerät kann nun eine eigene IP-Adresse er- 
halten und dadurch direkt adressiert werden. Für Dienste 
wie Voice over IP (VolP) kann dies durchaus sinnvoll 
sein, birgt jedoch auch ein gewisses Sicherheitsrisiko. 

Ebenso ist es ohne NAT für Server-Betreiber einfacher 
möglich festzustellen, von wie vielen Endgeräten inner- 
halb eines Haushalts oder Unternehmens Zugriffe kom- 
men, da ohne NAT alle einzelne IP-Adressen haben. Da- 
her kann es wünschenswert sein, dennoch NAT (NAT66) 
einzusetzen. 

2.2.2.2.2.3 Sicherheitsanforderung an Endgeräte 

So wurde im Expertengespräch zum Thema „lPv6 - Si- 
cherheitsaspekte“ erklärt, dass es „ohne NAT [...] mög- 
lich sein [werde], Pakete direkt an Endrechner zu trans- 
portieren, sofern keine Filterung durch andere 
Sicherheitsmechanismen erfolge. Damit steige der An- 
spruch an die Endanwender bzw. an die Anbieter von 
Produkten für Endanwender, über eine sichere Basiskon- 
figuration zu verfugen, die verhindere, dass Pakete aus 
dem Internet direkt an Endgeräte weitergeleitet wer- 
den.“'"^ Künftig muss der Schutz verstärkt auf den 
Endgeräten der Anwenderinnen und Anwender statt- 
finden. ln diesem Zusammenhang wird auch diskutiert, 
ob Router eine integrierte Firewall beinhalten sollten. 
Dies ist für stationär verwendete Rechner sicherlich ein 
relevanter Aspekt, jedoch darf dabei nicht vergessen wer- 
den, dass viele Anwender ihre Geräte zunehmend mobil 
nutzen. Sofern ein Anwender mit seinem Notebook in ein 
anderes Netz wechselt, muss dieses in der Lage sein, sich 
selbst zu schützen. Es kann davon ausgegangen werden, 
dass es den „normalen“ Nutzer überfordert, eine sicher- 


für den Wirtschaftsstandort Deutschland - Abschlussbericht. Juni 
2012, S. 15. Online abrufbar unter; http://www.bmwi.de/BMWi/Re 
daktion/PDF/Publikationen/bmwi-internetprotokoll-ipv6,property= 
pdf,bereich=bmwi2012,sprache=de,rwb=true.pdf 
Siehe hierzu auch Kapitel 1/2.2.2.1.6. 

Vgl. Protokoll des öffentlichen Expertengesprächs zum Thema 
„IPv6 - Sicherheitsaspekte“ der Projektgruppe Zugang, Struktur und 
Sicherheit im Netz der Enquete-Kommission Internet und digitale Ge- 
sellschaft des Deutschen Bundestages vom 21. Mai 2012, S. 15. On- 
line abrufbar unter: http://www.bundestag.de/intemetenquete/doku 
mentation/Zugang_Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_ 
2012-05-2 l_oeffentliches_Expertengespraech/PGZuStrSi_20 12-05- 
21_Protokoll.pdf 
Ebd. 

70 Vgl. ebd., S. 22. 

7' Vgl. Weber, Christoph: Schriftliche Stellungnahme, vorgelegt im 
Rahmen des öffentlichen Expertengesprächs „IPv6 - Sicherheitsas- 
pekte“ der Projektgmppe Zugang, Struktur und Sicherheit im Netz 
der Enquete-Kommission Internet und digitale Gesellschaft des 
Deutschen Bundestages vom 21. Mai 2012, S. 2. Online abmfbar 
unter: http://www.bundestag.de/internetenquete/dokumentation/Zu 
gang_Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_20 1 2-05-2 1_ 


heitstechnische Konfiguration seiner Endgeräte eigenver- 
antwortlich vorzunehmen. Folglich „muss die sichere 
Konfiguration der normale Betriebszustand sein, auf den 
sich der Benutzer beim typischen Einsatz verlassen kann 
(security by default).“^^ Gleichwohl muss es technisch 
versierten Anwendern möglich sein, diese Einstellun- 
gen ihren Bedürfnissen entsprechend zu verändern. 

2.2.2.2.2.4 Statische und dynamische 
Adressvergabe 

Die Vergabe einer IP-Adresse durch einen ISP kann auf 
zwei Arten erfolgen: statisch oder dynamisch. 

Erfolgt die Zuweisung einer IP-Adresse statisch, so wird 
diese dauerhaft zugewiesen. Eine statische Vergabe 
kommt vor allem im Geschäftsbereich zum Einsatz, da 
zum Beispiel für das Betreiben eines eigenen Webservers 
eine feste IP-Adresse benötigt wird. Auch innerhalb eines 
Untemehmensnetzwerks erhalten beispielsweise Drucker 
eine statische IP. Im Endkundenbereich sind statische Ad- 
ressen für Dienste wie Voice over IP (VoIP) oder Internet 
Protocol Television (IPTV) relevant. 

Bei einer dynamischen IP-Adressvergabe wird die Ad- 
resse nur für einen begrenzten Zeitraum vergeben. Nach 
einer festgelegten Zeitspanne, zum Beispiel 24 Stunden, 
erfolgt eine automatische Trennung. Sollte eine weitere 
Intemetnutzung gewünscht sein, erhält der Kunde vom 
ISP eine neue Adresse zugewiesen. Unter IPv4 ist die dy- 
namische Vergabe von IP-Adressen aufgrund der Adress- 
knappheit notwendig. Da sich mit IPv6 der Adressraum 
jedoch um ein Vielfaches vergrößert, ist dies nun nicht 
mehr zwingend. 

Unter IPv6 wird dem Endkunden im Regelfall keine kom- 
plette IP-Adresse zugewiesen, sondern lediglich der erste 
Teil, das so genannte Global-Routing-Präfix.’* Auch hier 
kann - wie unter IPv4 - entweder eine dynamische oder 
eine statische Vergabe erfolgen. 

Sollte unter IPv6 künftig eine statische Vergabe erfolgen, 
kann dies aus Datenschutzsicht kritisch gesehen werden. 
Durch eine statische Zuweisung der IP-Adresse, „stiege 
das Risiko, dass Diensteanbietem die Person hinter der 
IP-Adresse bekannt wird. Sie könnte dann bei jedem Be- 
such einer Webseite wiedererkannt werden, auch wenn 
sie sich dort nicht namentlich anmeldet. Dies wäre das 
Ende jedweder Anonymität im Internet - im Ergebnis 
eine kleine Vorratsdatenspeicherung durch die Hintertür, 
weil die IP-Adresse dann als Bestandsdatum dauerhaft 
gespeichert würde.“’'* Eine statische Vergabe zöge rechtli- 


oeffentliches_Expertengespraech/PGZuStrSi_20 12-05-2 IStellung 
nahme_Weber.pdf 

72 Bundesministerium für Wirtschaft und Technologie: Das Intemetpro- 
tokoll der Version 6 (IPv6) - Chancen und Herausforderungen für 
den Wirtschaftsstandort Deutschland - Abschlussbericht. Juni 2012, 
S. 15. Online abrufbar unter: http://wvvAV.bmwi.de/BMWi/Redaktion/ 
PDF/Publikationen/bmwi-intemetprotokoll-ipv6,property=pdf,bereich 
=bmwi20 1 2,sprache=de,rwb=true.pdf 

72 Siehe zum Aufbau von IPv6-Adressen Kapitel 1/2.2. 2. 1.5. 

74 Kühn, Ulrich: Schriftliche Stellungnahme, vorgelegt im Rahmen des 
öffentlichen Expertengesprächs „IPv6 - Sicherheitsaspekte“ der Pro- 
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che Konsequenzen nach sich, da die IP-Adresse damit 
zum Bestandsdatum würde. 

Ob die Zuweisung der IP-Adresse in Zukunft statisch 
oder dynamisch erfolgt, ist vom jeweiligen Anwendungs- 
szenario abhängig zu machen. Bei Diensten wie VolP 
oder IPTV ist eine statische Vergabe durchaus wün- 
schenswert, da eine mit der dynamischen Zuweisung ein- 
hergehende Zwangsunterbrechung zu Problemen führen 
kann (Unterbrechung eines Telefonats, möglicherweise 
eines Notrufs; Unterbrechung eines TV-Streams). 


Beispiel für eine am Markt mögliche Lösung zur 
Einführung von IPv6 

Auf dem Symposium „Intemetprotokoll Version 6 
(lPv6) - Wo bleibt der Datenschutz?“ des Bundesbeauf- 
tragten für den Datenschutz und die Informationsfreiheit 
am 22. November 2011 stellte der Referent ein großen 
deutsches Telekommunikationsuntemehmen das von 
diesem geplante Vorgehen hinsichtlich der Einführung 
von lPv6 vor.^^ So sollen die Kunden des Unternehmens 
aus „einem sehr großen regionalen Pool an lPv6-Präfi- 
xen einen eigenen kleinen Pool“ mit „256 individuellen 
Präfixen“ erhalten.^* Technisch bedeutet dies, dass dem 
Anwender kein komplettes 64-Bit-Präfix zugewiesen 
wird, sondern in diesem Fall ein 56 Bit umfassendes 
Präfix (Global-Routing-Präfix). Die restlichen 8 Bit 
(Subnet Identifier) stehen den Nutzem zur Verfügung, 
um eigene Subnefze zu bilden. Der von dem Telekom- 
munikationsuntemehmen ausgelieferte Router soll den 


jektgruppe Zugang, Struktur und Sicherheit im Netz der Enquete- 
Kommission Internet und digitale Gesellschaft des Deutschen Bun- 
destages vom 21. Mai 2012, S. 3. Online abrufbar unter: http:// 
www.bundestag.de/intemetenquete/dokumentation/Zugang_Struktur_ 
und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oefEentliches_Exper 
tengespraech/PGZuStrSi_20 1 2-05-2 l_Stellungnahme_Kuehn.pdf 
Vgl. MMR-Aktuell: BVerfG: Bestanddatenauskunft mit GG verein- 
bar, 329884. Ausgabe 6/2012 vom 27. März 2012. Online abrufbar 
unter: http://beck-online.beck.de/Default.aspx?vpath=bibdata/zeits/ 

MMRAktuell/2012/Y-300.Z-MMRAktuell.B-2012.H-06.htm 
Vgl. Kühn, Ulrich: Schriftliche Stellungnahme, vorgelegt im Rah- 
men des öffentlichen Expertengesprächs „IPv6 - Sicherheitsaspekte“ 
der Projektgmppe Zugang, Stmktur und Sicherheit im Netz der 
Enquete-Kommission Internet und digitale Gesellschaft des Deut- 
schen Bundestages vom 21. Mai 2012. S. 3. Online abmfbar unter: 
http://www.bundestag.de/internetenquete/dokumentation/Zugang_ 
Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_20 12-05-2 loeffentli 
ches_Expertengespraech/PGZuStrSi_20 12-05-2 l_SteIlungnahme_ 
Kuehn.pdf 

Vgl. hierzu die Ausfühmngen von Jan Lichtenberg, Deutsche Tele- 
kom, in: Schaar, Peter - Der Bundesbeauftragte für den Datenschutz 
und die Informationsfreiheit (Hrsg.): Intemetprotokoll Version 6 
(IPv6). Wo bleibt der Datenschutz? Tagungsband zum Symposium 
des Bundesbeauftragten für den Datenschutz und die Informations- 
freiheit am 22. November 2011 in Berlin. November 2011 S. 29 ff. 
Online abmfbar unter: http://www.bfdi.bund.de/SharedDocs/Publika 

tionen/Infobroschueren/TagungsbandSymposiumIPv6.pdf? blob= 

publicationFile 
78 Ebd., S. 36. 


Subnef Identifier regelmäßig neu erzeugen, das heißt 
aus dem Pool der 256 Subnetze auswählen.^® Zusätzlich 
soll es den Nutzem durch einen so genannten Privacy 
Button möglich sein, ein „komplett neues [56-Bit-] Prä- 
fix zugewiesen [zu] bekommen“. Diese Neuzuweisung 
können die Anwender entweder manuell auslösen oder 
automatisiert, zum Beispiel alle 24 Stunden immer um 1 
Uhr nachts, durchführen lassen. Kunden soll damit die 
Möglichkeit eingeräumt werden, das von ihnen ge- 
wünschte Datenschutzniveau selbst festlegen zu kön- 
nen.*' Von einer vom Provider durchgeführten Zwang- 
strennung, wie sie bei IPv4 üblich ist, will das 
Unternehmen Abstand nehmen. Dies liegt zum einen an 
den zukünftigen All-IP-Anschlüssen unter IPvb*^: 
Würde man hier eine Zwangstrermung der Datenleitung 
vornehmen, würden auch Telefongespräche - schlimms- 
tenfalls ein Notmf - unterbrochen. Zum anderen führe 
eine Neuzuweisung der IP-Adresse auch zur Unterbre- 
chung von Diensten wie IPTV oder VoIP.** 

Vor dem Hintergrund, dass die IP-Adresse nicht zwangs- 
weise dynamisch neu zugewiesen wird, sondern den ak- 
tiven Eingriff der Nutzer erfordert, kann kritisiert wer- 
den, dass der Subnet Identifier mit 8 Bit zu kurz gewählt 
ist.*"* In diesem Fall stehen nur 256 Möglichkeiten zur 
Verfügung, mit denen der Global-Routing-Präfix er- 
gänzt werden kann. Bleibt der Global-Routing-Präfix 
nämlich über einen längeren Zeitraum konstant, so be- 
steht - wie bei einer statischen Adressvergabe - die 
Möglichkeit, die IP einem Anschluss eindeutig zuzuord- 
nen. Wird der Global-Routing-Präfix jedoch regelmäßig 
neu vergeben, besteht dieses Risiko nicht. Von Seiten 
des Unternehmens wird eingeräumt, dass es sich bei der 
geplanten Vorgehensweise um eine zum jetzigen Zeit- 
punkt realisierbare Lösung handelt, die sich in den 
nächsten Jahren weiterentwickeln und verändern kann. *5 


™ Vgl. ebd. 

«« Ebd., S. 36f. 

Vgl. ebd., S. 37. 

82 All-IP-Anschluss bedeutet, der Kunde erhält nur noch eine Leitung 
für Telefonie und Datentransfer. Die Telefonie erfolgt über VoIP. Vgl. 
Schaar, Peter - Der Bundesbeauftragte für den Datenschutz und die 
Informationsfreiheit (Hrsg.): Intemetprotokoll Version 6 (IPv6). Wo 
bleibt der Datenschutz? Tagungsband zum Symposium des Bundes- 
beauftragten für den Datenschutz und die Informationsfreiheit am 
22. November 201 1 in Berlin. November 2011, S. 33 f. Online abruf- 
bar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/Infobro 
schueren/TagungsbandSymposiumIPv6.pdf? ^blob=publicationFile 

82 Vgl. Protokoll des öffentlichen Expertengesprächs zum Thema 
„IPv6 - Sicherheitsaspekte“ der Enquete-Kommission Internet und digi- 
tale Gesellschaft des Deutschen Bundestages vom 21. Mai 2012, S. 16. 
Online abmfbar unter: http://www.bundestag.de/intemetenquete/do 
kumentation/Zugang_Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_ 
20 1 2-05-2 l_oeffentliches_Expertengespraech/PGZuStrSi_20 1 2-05-2 1 
_Protokoll.pdf 

84 Vgl. Schaar, Peter - Der Bundesbeauftragte für den Datenschutz und 
die Informationsfreiheit (Hrsg.): Intemetprotokoll Version 6 (IPv6). 
Wo bleibt der Datenschutz? Tagungsband zum Symposium des Bun- 
desbeauftragten für den Datenschutz und die Informationsfreiheit am 
22. November 2011 in Berlin. November 2011, S. 53 f., 61. Online 
abmfbar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/ 

Infobroschueren/TagungsbandSymposiumIPv6.pdf? blob=publica 

tionFile 

85 Vgl. ebd., S. 50. 
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Die 33. Internationale Konferenz der Beauftragten für 
den Datenschutz und für die Privatsphäre empfiehlt eine 
standardmäßig dynamische Präfixvergabe.*'" Dennoch 
muss dem Endkunden auch die Möglichkeit eingeräumt 
werden, auf Wunsch eine statische Adresse zu erhalten. 

ln den vom Bundesbeauftragten für den Datenschutz und 
die Informationsfreiheit (BfDl), Peter Schaar, und dem 
Deutschen lPv6-Rat veröffentlichten Leitlinien „IPv6 
und Datenschutz “ heißt es dazu: „Für den Benutzer muss 
je nach Notwendigkeit die Möglichkeit bestehen, sowohl 
mit statisch vergebenen lPv6 Adressen, d. h. dauerhaft 
identifizierbar, Transaktionen im Internet durchzuführen, 
als auch (teil-)anonymisiert und damit nicht (einfach) zu- 
rückverfolgbar, z. B. vermittels von dynamisch vergebe- 
nen Anteilen im lPv6 Adresspräfix oder vermittels dyna- 
mischer neu vergebener Präfixe auf Kundenwunsch z. B. 
per Knopfdruck, sein. Die jeweilige Entscheidung da- 
rüber soll/muss beim Benutzer liegen.“*’ 

2.2.2.2.2.5 Privacy Extensions 

Ein weiterer aus Datenschutzsicht zu betrachtender As- 
pekt geht mit der Generierung des Interface Identifiers 
einher. Dieser dritte Teil einer lPv6-Adresse dient der ein- 
deutigen Identifizierung eines Endgeräts innerhalb eines 
Netzwerks. Die Bildung des Interface Identifiers kann 
entweder auf Basis der weltweit einmaligen MAC- 
Adresse des Endgerätes** oder auf Basis regelmäßig neu 
erzeugter Zufallszahlen mittels Privacy Extensions erfol- 
gen.*9 

„Die , Privacy Extension‘ verhindern wirksam eine ein- 
deutige Identifikation eines bestimmten Endgerätes an- 
hand seiner lPv6-Adresse.“^o Bei deaktivierten Privacy 
Extensions ist jedoch durch Mobile lPv6^' ein Tracking 
der Nutzer über Netzwerkgrenzen hinweg möglich. Tra- 
cking kann jedoch auch über den Einsatz so genannter 
Cookies erfolgen. Durch die europäische Richtlinie (2009/ 
136/EG)^’, so genannte Cookie-Richtlinie^*, könnte das 


Vgl. 33. Internationale Konferenz der Beauftragten für den Daten- 
schutz und für die Privatsphäre: Entschließung - Die Verwendung 
eindeutiger Kennungen bei der Nutzung von Internet Protokoll Versi- 
on 6 (IPv6), 1. November 2011, S. 2. Online abrufbar unter: http:// 
www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssamm 

lung/IntDSK/201 lIntemetIPv6.pdf? blob=publicationFile 

Deutscher IPv6 Rat: Leitlinien IPv6 und Datenschutz. 16. März 
2012. Online abrufbar unter: http://www.ipv6council.de/documents/ 
leitlinien_ipv6_und_datenschutz/ 

Siehe Fußnote 29. 

Siehe Fußnote 30. 

Döring, Gert: Schriftliche Stellungnahme, vorgelegt im Rahmen des 
öffentlichen Expertengesprächs zum Thema „IPv6 - Sicherheits- 
aspekte“ der Projektgruppe Zugang, Struktur und Sicherheit im Netz 
der Enquete-Kommission Internet und digitale Gesellschaft des 
Deutschen Bundestages vom 21. Mai 2012, S. 1. Online abrufbar 
unter: http://www.bundestag.de/intemetenquete/dokumentation/Zugang 
_Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_20 12-05-2 l_oeffentli 
ches_Expertengespraech/PGZuStrSi_20 1 2-05-2 IStellungnahmeDoe 
ring.pdf 

Siehe Kapitel 1/2.2. 2. 1.6. 

Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates 
vom 25. November 2009 zur Ändemng der Richtlinie 2002/22/EG 


Cookie-Tracking jedoch unwichtiger werden, wodurch 
das Interesse an IPv6-Tracking steigen könnte.^'* 

Um die Privatsphäre der Nutzerinnen und Nutzer zu 
schützen, wird daher im Sinn des Privacy by Design eine 
Implementierung der Privacy Extensions in Betriebssys- 
temen und auf mobilen Endgeräten gefordert.^* Zudem 
sollten diese standardmäßig aktiviert werden (Privacy by 
Default). Es sind bereits Betriebssysteme sowie Mobil- 
geräte verfügbar, auf denen die Privacy Extensions ge- 
nutzt werden können. 

In dem von der Projektgmppe durchgeführen Expertenge- 
spräch „IPv6 - Sicherheitsaspekte“ haben sich mehrere 
Anhörpersonen dafür ausgesprochen, dass für den Endan- 
wender eine einfache Möglichkeit, beispielsweise ein 
leicht zugänglicher und intuitiv bedienbarer Button, vor- 
handen sein sollte, um zwischen ein- und ausgeschalteten 
Privacy Extensions wechseln zu können.^’ 

2.2.2.2.2.6 Sensibilisierung der Nutzerinnen 
und Nutzer 

Mit der Einführung von IPv6 ergeben sich technische 
Neuerungen. Diese bieten Vorteile, bringen aber - wie 
dargestellt - auch einige sicherheits- und datenschutzrele- 
vante Herausforderungen mit sich. 


Über den Universaldienst und Nutzerrechte bei elektronischen Kom- 
munikationsnetzen und -diensten, der Richtlinie 2002/58/EG über 
die Verarbeitung personenbezogener Daten und den Schutz der Pri- 
vatsphäre in der elektronischen Kommunikation und der Verordnung 
(EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz. 
Text von Bedeutung für den EWR. ABI. L 337 vom 18. Dezember 
2009, S. 11-36. Online abrulbar unter: http://eur-iex.europa.eu/LexU 
riServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:De:PDF 
Die Cookie-Richtlinie besagt, dass Cookies nur noch mit ausdrückli- 
cher Genehmigung des Nutzers (Opt-In- Verfahren) zum Einsatz 
kommen dürfen. 

Vgl. Schaar, Peter - Der Bundesbeauftragte für den Datenschutz und 
die Informationsfreiheit (Hrsg.): Intemetprotokoll Version 6 (IPv6). 
Wo bleibt der Datenschutz? Tagungsband zum Symposium des Bun- 
desbeauftragten für den Datenschutz und die Informationsfreiheit am 
22. November 2011 in Berlin. November 2011, S. 33. Online abruf- 
bar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/In- 

fobroschueren/TagungsbandSymposiumIPv6.pdf? ^blob=publication- 

File 

Vgl. beispielsweise Kühn, Ulrich: Schriftliche Stellungnahme, vor- 
gelegt im Rahmen des öffentlichen Expertengesprächs „IPv6 - Si- 
cherheitsaspekte“ der Projektgruppe Zugang, Struktur und Sicherheit 
im Netz der Enquete-Kommission Internet und digitale Gesellschaft 
des Deutschen Bundestages vom 21. Mai 2012, S. 4. Online abrufbar 
unter: http://www.bundestag.de/internetenquete/dokumentation/Zu 
gang Struktur und_Sicherheit_im_Netz/PGZuStrSi_20 1 2-05 -2 1 _ 
oeffentliches_Expertengespraech/PGZuStrSi_20 12-05-2 l_Stellung 
nahme_Kuehn.pdf 

Vgl. 33. Internationale Konferenz der Beauftragten für den Daten- 
schutz und für die Privatsphäre: Entschließung - Die Verwendung 
eindeutiger Kennungen bei der Nutzung von Internet Protokoll Versi- 
on 6 (IPv6), 1. November 2011, S. 2. Online abmfbar unter: http:// 
AVAvw.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssamm 

lung/IntDSK/20 1 1 IntemetIPv6.pdf? blob=publicationFile 

Vgl. Protokoll des öffentlichen Expertengesprächs zum Thema 
„IPv6 - Sicherheitsaspekte“ der Projektgruppe Zugang, Struktur und 
Sicherheit im Netz der Enquete-Kommission Internet und digitale Ge- 
sellschaft des Deutschen Bundestages vom 21. Mai 2012. S. 12, 16. 
Online abrufbar unter: http://AVAvw.bundestag.de/intemetenquete/do 
kumentation/Zugang_Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_ 
2012-05-2 l_oeffentliches_Expertengespraech/PGZuStrSi_2012-05-21_ 
Protokoll.pdf 
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Vor diesem Hintergrund wird der Sensibilisierung und 
Aufklärung der Nutzerinnen und Nutzer eine besondere 
Rolle zuteil.^* 

Der Bundesbeauftragte für den Datenschutz und die In- 
formationsfreiheit (BfDl), Peter Schaar, spricht sich dafür 
aus, dass zunächst der Selbstregulierung vor einer zu 
frühzeitigen Reglementierung der Vorzug zu geben ist. 
Für ihn stehen datenschutzfreundliche Grundeinstellun- 
gen sowie die Aufklärung der Nutzerinnen und Nutzer im 
Mittelpunkt. So erklärt er: „Lassen Sie mich noch einen 
Schlenker machen zum Thema „rechtlicher Rahmen“. 
Wir als Datenschützer sind ja bekannt dafür, dass wir im- 
mer wieder nach neuen Gesetzen rufen. Hier würde ich 
mal sagen, tun wir das so nicht. Wir setzen darauf, dass 
wir über entsprechende Mechanismen, vielleicht auch die 
Selbstregulierung, datenschutzfreundliche Standards Um- 
setzen werden. Wenn das nicht klappt, dann muss man 
natürlich überlegen, auch im Einzelfall, ob es ausreichend 
ist, auf Selbstregulierungsmechanismen zu setzen. Ent- 
scheidend ist für mich, dass für den Betroffenen, der als 
Nutzer, als Kunde Intemetdienste in Anspruch nimmt, zu- 
nächst einmal eine datenschutzfreundliche Einstellung 
präsentiert wird, die ein Tracking und Tracing eben nicht 
standardmäßig ermöglicht und zweitens, dass das ganze 
System für ihn transparent ist. D. h., wenn er sich für ein 
bestimmtes Modell entscheidet, dass er auch weiß, wel- 
che Konsequenzen das hat. Wenn er im vollen Bewusst- 
sein, dass es da vielleicht auch Datenschutzrisiken gibt, 
sich entscheidet, diese Risiken in Kauf zu nehmen, weil 
es Vorteile gibt, auf die er nicht verzichten möchte, dann 
denke ich, werden wir ihn nicht bevormunden wollen. 
Aber Transparenz und Privacy by Design/Default, das ist, 
glaube ich der Schlachtruf dieser Revolution. 

3 Zugang zum Internet: Wettbewerb 
und Breitbandverfügbarkeit 

Ein leistungsfähiger Zugang zum Internet ist heute in vie- 
len Lebensbereichen eine wesentliche Voraussetzung für 
eine gleichberechtigte Teilhabe an den gesellschaftlichen 


Vgl. Zeeb, Björn A.: Schriftliche Stellungnahme, vorgelegt im Rah- 
men des öffentlichen Expertengesprächs „IPv6 - Sicherheitsaspekte“ 
der Projektgruppe Zugang, Struktur und Sicherheit im Netz der En- 
quete-Kommission Internet und digitale Gesellschaft des Deutschen 
Bundestages vom 21. Mai 2012, S. 2. Online abrufbar unter: http:// 
www.bundestag.de/intemetenquete/dokumentation/Zugang_Struktur 
_und_Sicherheit_im_Netz/PGZuStrSi_2012-05-21_oeffentliches_Ex 
pertengespraech/PGZuStrSi_201 2-05-2 l_Stellungnahme_Zeeb.pdf 
sowie Protokoll des öffentlichen Expertengesprächs zum Thema 
„IPv6 - Sicherheitsaspekte“ der Projektgmppe Zugang, Stmktur und 
Sicherheit im Netz der Enquete-Kommission Internet und digitale 
Gesellschaft des Deutschen Bundestages vom 21. Mai 2012, S. 12, 26. 
Online abmfbar unter: http://www.bundestag.de/interaetenquete/ 
dokumentation/Zugang_Struktur_und_Sicherheit_im_Netz/PGZuStr 
Si_20 1 2-05-2 1 _oeffentliches_Expertengespraech/PGZuStrSi_20 1 2- 
05-21_Protokoll.pdf 

Vgl. Schaar, Peter - Der Bundesbeauftragte für den Datenschutz und 
die Informationslfeiheit (Hrsg.): Interaetprotokoll Version 6 (IPv6). 
Wo bleibt der Datenschutz? Tagungsband zum Symposium des Bun- 
desbeauftragten für den Datenschutz und die Informationsfreiheit am 
22. November 2011 in Berlin. November 2011, S. 12. Online abruf- 
bar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/Infobro 
schueren/TagungsbandSymposiumIPv6.pdf? blob=publicationFiie 


und wirtschaftlichen Möglichkeiten, die das Internet 
schafft. Dies gilt gleichermaßen für den privaten Bereich 
und die Rolle als Verbraucher als auch für jedwede Form 
gewerblicher Tätigkeit - ob nun als Großunternehmen, 
kleines oder mittelständisches Unternehmen oder Freibe- 
rufler. Die flächendeckende Verfügbarkeit einer Breit- 
bandgrundversorgung hat deshalb auch zu Recht hohe 
politische Priorität, um gleichwertige Lebensverhältnisse 
zu sichern und eine digitale Spaltung der Gesellschaft zu 
verhindern. 

Neben der Verfügbarkeit eines Breitbandanschlusses 
spielen für Kundinnen und Kunden aber auch der Preis 
und eine einfache Handhabung eine wichtige Rolle. Zu- 
dem ist der Nutzen eines Intemetzugangs ohne interes- 
sante und vielfältige Dienste gering. Die Schaffung von 
vielfältigen und nachfrageorientierten Angeboten kann 
am besten durch einen fünktionierenden Wettbewerb in 
den Märkten für diese Dienste gewährleistet werden. Die 
Frage der Verfügbarkeit ist daher untrennbar mit der 
Frage nach einem funktionsfähigen Wettbewerb im Tele- 
kommunikationsmarkt verbunden. 

Um Deutschland als Dienstleistungsgesellschaft Infra- 
strukturen fit zu machen, braucht es schnelles Handeln. 
Für die wirtschaftliche Entwicklung ist der Breitbandaus- 
bau elementar, denn die Breitbandkommunikation trägt in 
hochentwickelten Ländern bis zu einem Drittel des Pro- 
duktivitätswachstums bei.'ö*’ Schnelles Breitband fiächen- 
deckend könnte allein durch den Ausbau der Netzwerkin- 
ffastruktur im Zehnjahreszeitraum 2010 bis 2020 zu 
einem direkten Anstieg des Bruttoinlandsprodukts (BIP) 
von 33,4 Mrd. Euro führen. Durch die mit dem Netz- 
werkausbau verbundenen Effekte auf die deutsche 
Wirtschaft wird zudem von einem mittelbaren Anstieg 
des BIP von weiteren 137,5 Mrd. Euro ausgegangen. 
Insgesamt wird die Auswirkung auf das BIP auf 
170,9 Mrd. Euro geschätzt. Auch auf die Beschäftigung 
wirkt sich der Breitbandausbau positiv aus. Es wird pro- 
gnostiziert, dass nur durch den Ausbau des Netzes im 
Zehnjahreszeitraum 2010 bis 2020 bis zu 541 000 neue Ar- 
beitsplätze in Deutschland entstehen werden; mittelbar 
wird von weiteren 427 000 Arbeitplätzen ausgegangen. 
Insgesamt sollen durch den Breitbandausbau 968 000 neue 
Arbeitplätze geschaffen werden. Beim Breitbandausbau 
ist zu beachten, dass in Deutschland ein historisch gewach- 
senes Telefon- und Kabelnetz auf Kupferbasis existiert. 
Durch technische Innovationen (DSL, VDSL, EuroDOC- 


100 Vgl. Heng, Stefan: Breitbandinfrastmktur. Auf ordnungspolitischen 
Rahmen, Markttransparenz und Risikopartnerschaften kommt es an. 
Deutsche Bank Research, 7. April 2010, S. 3. Online abrufbar unter: 
http://www.dbresearch.de/PROD/DBR_INTERNET_DE-PROD/ 
PROD0000000000255855.pdf . Zu den Details der ökonomischen 
Auswirkungen des Breitbandausbaus siehe ferner: OECD: Broad- 
band and the Economy. Ministerial Background Report. DSTI/ICCP/ 
IE(2007)3/FINAL. OECD Ministerial Meeting on the Future of the 
Internet Economy, Seoul, Korea, 17.-18. Juni 2008. Online abrufbar 
unter http ://www. oecd. org/sti/4078 1 696 .pdf 
•öl Vgl. Katz, Raul et al.: Die Wirkung des Breitbandausbaus auf Ar- 
beitsplätze und die deutsche Volkswirtschaft. 2009. S. 1 ff; 8. Online 
abrufbar unter: http://www.polynomics.ch/dokumente/Polynomics_ 
Breitbandausbau_Broschuere_D.pdf. Die gesamte Studie steht in 
Englisch online zur Verfügung unter: http://www.polynomics.ch/do 
kumente/Polynomics_Broadband_Study_E.pdf 
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SIS 3.0) können unter Nutzung und Ergänzung der beste- 
henden Infrastruktur höhere Übertragungsraten erreicht 
werden. Nach Angaben der Bundesregierung standen be- 
reits im Jahr 2011 für 40 Prozent der deutschen Haushalte 
Hochgeschwindigkeitsanschlüsse von 50 Mbit/s oder hö- 
her zur Verfügung. 102 Damit unterscheidet sich die Aus- 
gangssituation in Deutschland grundlegend von der ande- 
rer Staaten und insbesondere von denen, die erstmals 
moderne Telekommunikationsinfrastrukturen (TK-Infra- 
strukturen) ausbauen oder dies kürzlich getan haben und 
für den flächdeckenden Anschluss der Haushalte mit 
TK-Infrastrukturen auf Glasfaser setzen. 

In Deutschland können über eine - zumindest partielle - 
Weiterverwendung von Kupferleitungen auf der letzten 
Meile hohe Übertragungsraten erreicht werden. Beim so 
genannten FTTC(Fiber-to-the-Curb)-Ausbau etwa wer- 
den Glasfaserkabel bis zu den Kabelverzweigern verlegt. 
Für die letzte Meile wird die vorhandene Kupferkabelinf- 
rastruktur genutzt. Der Vorteil dieser Ausbauvariante ei- 
nes Next-Generation-Access(NGA)-Netzes ist, dass die 
Kosten, im Vergleich zum Verlegen von Glasfaserkabeln 
bis zum Gebäude des Teilnehmers (Fiber-to-the-Building, 
FTTB), vergleichsweise niedrig ausfallen und schneller 
realisiert werden können. Es erfolgt dennoch ein Glasfa- 
serausbau bis zum Kabelverzweiger und damit sehr nahe 
an den Endkunden. Daneben stellt LTE einen wichtigen 
Baustein für die Breitbandgrundversorgung - insbeson- 
dere in entlegenen und dünnbesiedelten Regionen - dar. 
Nach Angaben der Bundesregierung'^^ betrug die Breit- 
bandverfügbarkeit bezogen auf alle Haushalte in Deutsch- 
land Mitte 2011: 

- für eine Geschwindigkeif von > 1 Mbif/s 98,7 Prozent; 

- für eine Geschwindigkeit von > 2 Mbit/s 94,2 Prozent; 

- für eine Geschwindigkeit von > 6 Mbit/s 84,4 Prozent. 

Seitdem hat jedoch der LTE-Ausbau große Fortschritte 
gemacht. Nach einer Erhebung des Branchenverbandes 
BITKOM konnten im April 2012 bereits über 13 Millio- 
nen Haushalte insbesondere in ländlichen Regionen, 
mit Breitbandintemet versorgt werden. Der Breitbandaus- 
bau in Deutschland ist gerade ein Beispiel dafür, wie 
durch entsprechende regulatorische Rahmenbedingungen 
privatwirtschaftliche Investitionen ausgelöst werden. In 
anderen Staaten ist ein flächendeckender Glasfaserausbau 
dagegen in der Regel das Ergebnis einer entsprechenden 
Industriepolitik samt eines umfassenden Einsatzes von 
Steuermitteln. 


102 Ygi Bundesministerium für Wirtschaft und Technologie: Zweiter 
Monitoringbericht zur Breitbandstrategie des Bundes. November 
2011, S. 7. Online abrufbar unter: http://www.bmwi.de/Dateien/BM 
Wi/PDF/zweiter-monitoringbericht-zur-breitbandstrategie-des-bundes, 
property=pdf,bereich=bmwi,sprache=de,rwb=true.pdf 

103 Vgl. ebd.,S. 43. 

104 Ygi Bundesverband Informationswirtschaft, Telekommunikation 
und neue Medien e.V. (BITKOM): Mobiles Breitband bereits für 
13 Millionen Haushalte. Pressemitteilung vom 2. April 2011. Online 
abrufbar unter: http://www.bitkom.org/de/presse/8477_71710.aspx 


3.1 Breitbandzugangstechnologien - Arten, 
Leistungsfähigkeit und Verbreitung 

Der Wettbewerb im Telekommunikationsmarkt hat zur 
Entstehung einer breiten Palette alternativer Zugangs- 
technologien geführt, die in ihrer Leistungsfähigkeit einer 
dynamischen technischen Weiterentwicklung unterliegen. 

3.1.1 Zugangstechnologien im Festnetz 

Heute und auch in Zukunft kommt dem kabelgebundenen 
Zugang zum Internet eine hohe Bedeutung zu. In der Re- 
gel bietet dieser gegenüber dem kabellosen Zugang noch 
höhere Übertragungsraten, wenngleich alle Technologien 
von einer stetigen Steigerung der Übertragungsraten in- 
folge der technischen Fortentwicklung geprägt sind. 

3.1. 1.1 DSL 

Geradezu beispielhaft für die Erschließung neuer Band- 
breitenkapazitäten ist die mit etwa 23 Millionen An- 
schlüssen heute am weitesten verbreitete Intemetzu- 
gangstechnologie DSL (Digital Subscriber Line).’"^ Sie 
beruht auf traditionellen Kupferleitungen, die als Basis 
des größtenteils noch von der Deutschen Bundespost er- 
richteten Telefonnetzes in Westdeutschland nahezu flä- 
chendeckend und in Ostdeutschland inzwischen weitge- 
hend verlegt sind. Die Technologie beruht auf einer 
Aufsplittung des auf der Kupferdoppelader transportier- 
baren Frequenzbereichs. Dieser teilt sich auf in den für 
die Sprachübertragung benötigten Frequenzbereich und 
in einen hochfrequenten Übertragungsbereich, der für die 
Datenübertragung verwandt werden kann. 

Die Aufsplittung erfolgt zwischen den in den Haushalten 
eingesetzten DSL-Splittem und den zunächst meist in den 
Hauptverteilem aufgestellten DSLAMs (Digital Subscri- 
ber Line Access Multiplexer), von wo aus der Datenver- 
kehr in das Aggregationsnetz des Netzbetreibers überge- 
ben wird. Je länger jedoch die Strecke zwischen 
Endkundenanschluss und DSLAM ist, desto geringer ist 
die über DSL technisch realisierbare Bandbreite. Dane- 
ben haben auch die Qualität der genutzten Endleitung so- 
wie andere potenzielle Störfaktoren Einfluss auf die tat- 
sächlich erreichbare Bandbreite. 

Bei dem am weitesten verbreiteten asynchronen DSL 
(ADSL - Assymmetric Digital Subscriber Line) stehen 
unterschiedliche Bandbreiten für den Down- und den Up- 
load zur Verfügung. Hiermit können Download-Band- 
breiten von bis zu 16 Mbit/s realisiert werden; im Upload 
in der Regel bis zu 1 Mbit/s. Alternativ steht auch die 
SDSL-Technologie (Symmetrie Digital Subscriber Line) 
für eine synchrone Anbindung gleicher Up- und Down- 
load-Bandbreite zur Verfügung, die in ersfer Linie im Ge- 
schäftskundenbereich Verwendung findet. 

Neuere Technologien wie VDSL (Very High Speed Digi- 
tal Subscriber Line) erlauben inzwischen auch die Reali- 


■“5 Vgl. Bundesnetzagentur: Tätigkeitsbericht 2010/2011. Telekommu- 
nikation. Dezember 2011, S. 36. Online abrufbar unter: http://www. 
bundesnetzagentur.de/SharedDocs/Downloads/DE/BNetzA/Presse/ 

Berichte/201 l/TaetigkeitsberichtTK2010201 lpdf.pdf? blob=publica 

tionFile 
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sierung deutlich höherer Bandbreiten. Auf dem Markt 
sind bereits Angebote mit bis zu 50 Mbit/s verfügbar; 
technologisch können inzwischen über DSL-Technik aber 
schon mehr als 100 Mbit/s auf einer einfachen Kupfer- 
doppelader, bei Bündelung mehrerer Fasern sogar noch 
deutlich höhere Werte realisiert werden. Derzeit steht 
diese DSL-basierte Technologie für etwa 30 Prozent der 
Haushalte in Deutschland zur Verfügung'^^ und ermög- 
licht damit auch bandbreitenintensive Anwendungen wie 
hochqualitatives HD- und 3D-TV via Internet. 

Durch einen kontinuierlichen, zunehmend auch außerhalb 
der Hauptverteiler und damit näher am Endkunden (zum 
Beispiel in den Kabelverzweigern, so genannten Outdoor 
DSLAMs) stattfindenden Ausbau der DSLAMs, der zu- 
letzt auf der Basis von Maßnahmen aus dem Konjunktur- 
paket 11 erfolgte, können immer mehr Kunden auch mit 
hochbitratigen Angeboten über DSL versorgt werden. 

3.1 .1 .2 TV-Kabel (Koaxialkabel) 

Eine alternative leitungsgebundene Intemetzugangsinfra- 
struktur besteht für viele Haushalte mit dem digital aufge- 
rüsteten TV-Kabel. Die notwendige Aufrüstung ist mitt- 
lerweile weit fortgeschritten.'*’’ Bereits heute sind 
entsprechende Anschlüsse für über 24 MillionenHaus- 
halte in Deutschland verfügbar’*’* - darunter auch mehr 
als zwei Millionen zuvor unterversorgte Haushalte im 
ländlichen Raum.’*’^ 

Durch Aufrüstung der Netze auf den Datenübertragungs- 
standard EuroDOCSlS”*’ 3.0 sind Anschlussbandbreiten 
von über 100 Mbit/s realisierbar.’” Nach Angaben der 
Kabelnetzbetreiber wird bis Ende 2012 eine Verfügbar- 
keit dieser Hochgeschwindigkeitsangebote für zwei Drit- 
tel aller Haushalte in Deutschland angestrebt.’” 


106 Vgl. o. V.: Germany’s Broadband Strategy. In: ITU-News, Juni 2011, 
Heft 5. Online abmfbar unter http://www.itu.int/net/itunews/issues/ 
201 1/05/ 19.aspx 

•^"^Bei Kabel BW sind bereits 100 Prozent der Kabelkunden auch mit 
Telekommunikationsdiensten versorgbar; Kabel Deutschland plant 
zeitnah zumindest 90 Prozent (Stand: Januar 2012). 

108 Ygi aNGA - Verband Deutscher Kabelnetzbetreiber e. V.: Das deut- 
sche Breitbandkabel - Infrastruktur der Zukunft. April 2011, S. 6. 
Online abrufbar unter: http://www.anga.de/media/file/4.ANGA_Das 
_deutsche_Breitbandkabel_201 1_01 .pdf 

109 Ygi aNGA - Verband Deutscher Kabelnetzbetreiber e.V: Positions- 
papier zur „Breitbandpolitik und Breitbandförderung“. Dezember 
2009, S. 4. Online abrufbar unter: http://anga.de/media/file/ 
6.ANGA_Positionspapier_zu_Breitbandpolitik_und_Breitbandfoerder 
ung_Dezember_2009.pdf 

DOCSIS steht für Data Over Gable Service Interface Specification. 
Der Datenübertragungsstandard EuroDOCSlS wurde, basierend auf 
dem US-amerikanischen DOCSIS, für den europäischen Raum ange- 
passt. 

Aktuell bietet Kabel Deutschland Anschlüsse mit bis zu 100 Mbit/s 
im Download sowie bis zu 4 Mbit/s im Upload an. Kabel BW stellt 
Anschlüsse mit bis zu 100 Mbit/s im Download und bis zu 2,5 Mbit/s 
im Upload zur Verfügung. Unitymedia und Tele Columbus realisie- 
ren sogar Anschlüsse mit bis zu 128 Mbit/s im Download und bis zu 
5 beziehungsweise 4 Mbit/s im Upload (Stand: Januar 2012). 

112 Ygl. ANGA - Verband Deutscher Kabelnetzbetreiber e.V: Das deut- 
sche Breitbandkabel - Infrastruktur der Zukunft. April 2011, S. 7. 
Online abrufbar unter http://anga.de/media/file/4.ANGA_Das_ 
deutsche_Breitbandkabel_20 1101 .pdf 


Die Kabelnetze liefern damit einen wichtigen Beitrag für 
den notwendigen Wettbewerb der Infrastrukturen, wobei 
die Wettbewerbssituation innerhalb dieser Technologie 
von wenigen großen Unternehmen und einer regionalen 
Marktaufteilung geprägt ist. 

Dabei ist zu beachten, dass wesentliche Anteile der Band- 
breite beim Femsehkabel für den Transport der TV-Pro- 
gramme belegt sind und das Koaxialkabel technologisch 
eine geteilte Ressource ist, bei der eine Rivalität der ver- 
schiedenen in einem Bereich angeschlossenen Nutzer bei 
der Nutzung der Bandbreite besteht. Dies führt - im Ge- 
gensatz zur DSL- oder Glasfaser-Technologie mit dedi- 
zierten Anschlusssegmenten, allerdings vergleichbar mit 
mobilen Zugangstechnologien - dazu, dass sich die tat- 
sächlich für den einzelnen Nutzer zur Verfügung stehende 
Bandbreite im Falle starker Nutzung durch konkurrie- 
rende Nachfrage reduzieren kann. 

Nach Angaben der Kabelnetzbetreiber werden die Netze 
derzeit so ausgebaut, dass die bisher eingesetzten Koaxi- 
alkabel schrittweise und nachfragegetrieben durch Glas- 
faserkabel ersetzt und an Gebäude herangeführt werden. 
Aus der Verbindung der Zugangstechnologien entstehen 
hybride Netze aus Koaxialkabel und Glasfaser - Hybrid 
Fiber Coax (HFC)Netzwerke, die einen schnelleren 
Transport großer Datenmengen gewährleisten sollen.’” 

3.1. 1.3 Glasfaser (FTTx) 

Die Zukunftstechnologie im Bereich der kabelgebunde- 
nen Telekommunikationszugänge wird auf lange Sicht 
die Glasfaser sein: Ihr entscheidender Vorteil ist, dass hier 
ein quasi verlustffeier Datentransport auch über weite 
Strecken möglich ist. 

Der Wechsel von der bisherigen Kupfemetzarchitektur 
auf Glasfaser bringt allerdings einen hohen Investitions- 
bedarf mit sich. Eine Studie des Wissenschaftlichen Insti- 
tuts für Infrastruktur und Kommunikationsdienste (WIK) 
für das NGA-Forum der Bundesnefzagentur gehf von ei- 
nem Invesfifionsbedarf von über 70 Mrd. Euro für einen 
flächendeckenden Glasfaserausbau aus.”'’ In dieser Di- 
mension werden ein kurzfristiger Ausbau und ein schnel- 
ler, vollständiger Umstieg von Kupfer- auf Glasfaserlei- 
tungen nicht erreichbar sein. Vielmehr ist eine graduelle 
Aufrüstung zu erwarten, sodass der Ausbau mit Glasfaser 
sukzessiv zum Endkunden vorangetrieben wird (zunächst 
zum Kabelverzweiger als Basis für leistungsfähigere 
VDSL-Anbindungen (Fiber-fo-the-Curb, FTTC) und ge- 
gebenenfalls erst später die vollständige Erschließung bis 
zum Gebäude beziehungsweise zur Wohnung (Fiber-to- 


113 Vgl. ebd., S. 9. 

Vgl. Jay, Stephan/Neumann, Karl-Heinz/Plückebaum, Thomas (Wis- 
senschaftliches Institut für Infrastruktur und Kommunikationsdienste 
(WIK)): Implikationen eines flächendeckenden Glasfaserausbaus 
und sein Subventionsbedarf - Zusammenfassung der Ergebnisse ei- 
nes Forschungsprojektes. September 2011, S. 37. Online abrufbar 
unter: http://www.bundesnetzagentur.de/SharedDocs/Downloads/ 

DE/BNetzA/Sachgebiete/Telekommunikation/Regulierung/NGAFo 

rum/1 5teSitzung/NGAForum20 1 1 09_WIKStudieFolien.pdf? ^blob= 

publicationFile 
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the-Building/to-the-Home, FTTB/FTTH)). Vor diesem 
Hintergrund werden die herkömmlichen Zugangstechno- 
logien, insbesondere das bestehende Kupfemetz, auf ab- 
sehbare Zeit ihre Bedeutung beibehalten. 

Dies ist auch deshalb zu erwarten, da heutzutage eine 
Nachfrage nach ultrabreitbandigen Intemetanschlüssen 
auf Basis eines vollständigen Glasfaserausbaus bei den 
meisten Endkunden noch nicht gegeben und auch die 
Zahlungsbereitschaft entsprechend schwach ausgeprägt 
ist."^ Zurzeit fehlt es noch an massenwirksamen Anwen- 
dungen, die tatsächlich einen praktischen Nutzen von ent- 
sprechend leistungsfähigen Intemetzugängen für die 
Mehrzahl der Nutzerinnen und Nutzer nachvollziehbar 
macht. Erst die Entwicklung innovativer Dienste, etwa 
Video-Anwendungen auf HD- oder 3D-Basis, werden 
hier einen wesentlichen Impuls für eine entsprechende 
Nachfrage setzen. 

Eine Folge dieser aktuellen Marktlage ist die zurzeit noch 
relativ gering erscheinende Versorgung mit Glasfaseran- 
schlüssen in Deutschland (circa 2,5 Prozent"^), die insbe- 
sondere in der fortgeschrittenen technologischen Er- 
schließung auf Basis alternativer Technologien (Kupfer- 
und Koaxialkabel) begründet liegt. Im Laufe der nächsten 
Jahre ist hier allerdings mit einem stetigen und auch in 
der Geschwindigkeit zunehmenden Wachstum zu rech- 
nen. 

3.1.2 Kabellose Zugangstechnologlen 

Eine immer größere Rolle übernehmen kabellose Zu- 
gangstechnologien. Dies gilt zum einen für die zuneh- 
mende Nutzung des Internets über mobile Endgeräte. 
Zum anderen können kabellose Zugangstechnologien 
durch die enorm gestiegene Leistungsfähigkeit der hierü- 
ber möglichen Datenübertragung zunehmend zu einer va- 
liden Alternative zu kabelgebundenen Intemetzugängen 
auch bei stationärer Nutzung werden. Dies gilt vor allem 
für stark mobile Bevölkemngsgmppen wie Studierende 
oder auch alleinstehende Personen, die immer häufiger 
komplett auf einen kabelgebundenen Intemetanschluss 
verzichten. Daneben bekommen kabellose Zugangstech- 
nologien eine besondere Bedeutung für Gebiete, in denen 
kabelgebundene Breitbandanschlüsse aufgmnd der hohen 
Investitionskosten noch nicht verfügbar sind. Damit leis- 
ten kabellose Zugangstechnologien auch einen wesentli- 
chen Beitrag zur Erreichung der Zielsetzung einer fiä- 
chendeckenden Breitbandversorgung. 


Vgl. Hofmann, Robert (l&l Internet AG): Marktforschung zu Kun- 
denerwartungen an Breitband der Zukunft. Vortrag im Rahmen des 
NGA-Forums der Bundesnetzagentur. 3. November 2010. Online ab- 
rufbar unter: http://www.bundesnetzagentur.de/SharedDocs/Down 
loads/DE/BNetzA/Sachgebiete/Telekommunikation/Regulierung/NGA 

Forum/7teSitzung/Hoffmann_NGAFomm_20 101103 .pdf? blob= 

publicationFile 

Vgl. Bundesnetzagentur: Tätigkeitsbericht 2010/2011. Telekommu- 
nikation. Dezember 2011, S. 75. Online Abrufbar unter http://www. 
bundesnetzagentur.de/SharedDocs/Downloads/DE/BNetzA/Presse/ 

Berichte/2011/TaetigkeitsberichtTK201 0201 Ipdf pdf? ^blob=publica 

tionFile 


3.1 .2.1 Mobllfunklösungen^^^ 

Schon UMTS (Universial Mobile Telecommunications 
System), der Mobilfunkstandard der dritten Generation, 
hat die Basis für weitreichende mobile Intemetnutzung 
gelegt. Bandbreiten von bis zu 14 Mbit/s sind heute ein 
gängiges Angebot; höhere Bandbreiten sind technisch in- 
zwischen möglich. 

Mit LTE (Long Term Evolution), dem Mobilfunkstandard 
der vierten Generation, sind endgültig auch hochbreitban- 
dige Anbindungen möglich. Bandbreiten von bis zu 
150 Mbit/s pro Funkzelle sind hier bereits Realität; weit 
mehr wird mit dem bereits in der Entwicklung befindlichen 
Nachfolgestandard LTE-Advanced technisch möglich sein: 
Verbesserte Möglichkeiten der Integration kleiner Zellen in 
heterogenen Netzen mit intelligentem Interferenzmanage- 
ment und unter Ausnutzung auch hoher Trägerfrequenzen 
wie zum Beispiel bei 3.5 GHz erlauben gesicherte Daten- 
raten von 50 Mbit/s pro Nutzer auch für solche Teilneh- 
mer in Randgebieten einer Zelle ohne Einsatz spezieller 
Antennenlösungen. Dedizierte Antennenlösungen wie 
Außen- und Dachantennen mit Richtgewinn können zur 
weiteren Verbesserung dort eingesetzt werden, wo wid- 
rige Empfangsbedingungen vorliegen. 

Neben den Übertragungsraten sind bei der Nutzung auch 
die Latenzzeiten von Bedeutung, die für die Nutzerinnen 
und Nutzer zum Beispiel beim Aufbau von Intemefseiten 
ein Gradmesser für die Geschwindigkeit ihres Anschlus- 
ses sind. Die Latenzzeit stellt gemeinhin die Zeit zwi- 
schen dem Absenden eines Datenpakets und der Antwort 
des angesprochenen Servers dar. Lange waren in diesem 
Punkt leitungsgebundene Zugangstechnologien den 
drahtlosen Zugangstechnologien mit einer geringen La- 
tenzzeit deutlich überlegen, was sich mit der Entwicklung 
des LTE-Standards geändert hat. Dieser weist mit 10 bis 
50 ms eine Latenzzeit auf dem Niveau eines leitungsge- 
bundenen DSL-Anschlusses auf 

Der Intemetzugang über Mobilfunk ist - wie auch das 
Femsehkabel - ein so genanntes Shared Medium, dass 
heißt eine geteilte Ressource. Die rivalisierende Nutzung 
kann zu einer Minderung der für den Einzelnen verfügba- 
ren Bandbreife führen. Infolgedessen werden die in der 
Praxis technisch möglichen Bandbreiten nicht immer er- 
reicht. Dennoch sind heute in LTE-Ausbaugebieten si- 
chere Mindestbandbreiten auf DSL-Niveau Standard. 

Auch deswegen ist es sinnvoll gewesen, dass die Vergabe 
der Frequenzen für die vierte Mobilfunkgeneration mit 
Auflagen zu einer vorrangigen Versorgung „weißer Fle- 
cken“ verbunden wurde, um auf diese Weise die fiächen- 
deckende Breitbandversorgung voranzutreiben. Im Okto- 
ber 2012 hat die Bundesnetzagentur festgestellt, dass die 
Versorgungsaufiagen zu diesem Zeitpunkt bereits für 
zwölf der dreizehn Flächenländer erfüllt war."* 


Die Fraktion der SPD sowie der Sachverständige Alvar Freude haben 
gegen die Textfassung dieses Kapitels gestimmt und ein Sondervo- 
tum abgegeben (siehe Kapitel 5 Sondervoten). Die Fraktionen DIE 
LINKE, und BÜNDNIS 90/DIE GRÜNEN schließen sich diesem 
Sondervotum an. 

•^^Vgl. Bundesnetzagentur: Versorgungsauflage im 800-MHz-Bereich 
nunmehr auch in Mecklenburg- Vorpommern erfüllt. Pressemitteilung 



Deutscher Bundestag - 17. Wahlperiode 


-23- 


Drucksache 17/12541 


In den kommenden Jahren werden die einzelnen Mobil- 
funkstationen zudem mit Glasfaser angebunden werden, 
um das zu erwartende stetig steigende Datenaufkommen 
von den Stationen in das ohnehin glasfaserbasierte Back- 
bone-Netz abführen zu können. Schließlich ist für die be- 
reits in der Entwicklung befindliche LTE-Nachfolgegene- 
ration, LTE-Advanced, eine solche Glasfaseranbindung 
zwingend notwendig. Somit tragen auch die aktuellen 
und künftigen Mobilfimklösungen dazu bei, Glasfaser in 
die Fläche und damit näher an die Endkunden zu bringen. 

3.1. 2.2 Satellit 

Weniger für die Massenversorgung, aber doch für spe- 
zielle Aufgabengebiete - nicht zuletzt für die Versorgung 
sehr abgelegener Gebiete - ist auch die Anbindung über 
Satellit mit einem Downstream von bis zu 18 Mbit/s 
möglich. Diese geht jedoch mit einigen technisch beding- 
ten Nachteilen einher, wie beispielsweise einer hohen La- 
tenz beim Datentransport sowie relativ hohen Kosten, 
wenn auch der Upload mit höherer Bandbreite über eine 
sendefähige Satellitenantenne erfolgen soll. Bei einigen 
Anbietern sind zudem die Übertragungsgeschwindigkei- 
ten sehr ungleichmäßig. Dadurch ist fraglich, inwieweit 
diese Technik gerade den Anforderungen bestimmter Un- 
ternehmen gerecht werden kann. Für die Endverbraucher 
liegen die Monatstarife über denen von DSL-Anschlüs- 
sen. Am ehesten kommt daher ein Einsatz an abgelegenen 
Orten in Betracht. Zunehmend ist hier jedoch eine Ver- 
drängung durch die wachsende Verbreitung mobiler Ver- 
sorgung der neuesten Generation (LTE) zu erwarten. 

3. 1.2. 3 Sonstige Funkzugangstechnologlen 

Die so genannten freien Funknetze stellen eine weitere 
Alternative dar. Es handelt sich um WLAN(Wireless Lo- 
cal Area Networkj-basierte Funknetze, die nicht von 
kommerziellen Anbietern, sondern von Privatpersonen, 
Vereinen oder ähnlichen Organisationen betrieben wer- 
den. Zum Beispiel stellt beim Freifimk"^ jeder Nutzer 
seinen WLAN-Router für den Datentransfer der anderen 
Teilnehmer zur Verfügung. Im Gegenzug kann er eben- 
falls Daten über das interne Freifimk-Netz übertragen 
oder von Teilnehmern eingerichtete Dienste wie Chat, Te- 
lefonie, Onlinegaming nutzen. Viele Teilnehmer stellen 
außerdem ihren Intemetzugang zur Verfügung und er- 
möglichen so den anderen Teilnehmern erst den Zugang. 
Freifimk wird oft in Kombination mit Richtfunk betrie- 
ben, so dass Reichweiten von mehreren Kilometern reali- 
siert werden können. Leider steht das Freifimk-Modell 
durch die geltenden Haftungsregelungen unter Druck, da 
nicht ausgeschlossen werden kann, dass der Anschlussin- 
haber für Rechtsverletzungen zur Verantwortung gezogen 
wird, die über sein offenes WLAN begangen werden. In 
der Praxis betrifft dies vor allem Urheberrechtsverletzun- 


vom 8. Oktober 2012. Online abrufbar unter: http://www.bundesnetz 
agentur.de/cln_l 9 1 l/SharedDocs/Pressemitteilungen/DE/20 12/121 008 
_BreitbandausbauMeckVPom.html?nn=65 116 
Siehe hierzu auch die Ausführungen auf der Website start.frei 
funk.net. Online abrufbar unter: http://start.tfeifunk.net/ 


gen. Im Spannungsfeld zwischen „Abmahnwahn“ und 
Providerhaftung stellt das offene WLAN ein besonderes 
und bis dato ungelöstes Rechtsproblem dar.'^o Die Frei- 
ftmk-Community ist Teil einer globalen Bewegung für 
freie Infrastrukturen, deren Vision die Demokratisierung 
der Kommunikationsmedien durch freie Netzwerke ist. 

Andere Funkzugangstechnologien wie zum Beispiel 
Richtfunk haben kaum Relevanz für Einzelanbindungen 
im Privatgebrauch. Auch sie können aber für speziali- 
sierte Zwecke im gewerblichen Bereich oder aber für 
Sammelanbindungen abgelegener Ortschaften eingesetzt 
werden, um die mangelnde Rentabilität eines kabelge- 
bundenen Anschlusses zumindest für einen Übergangs- 
zeitraum auszugleichen. 

3.2 Wettbewerb Im Internetzugangsmarkt 

Wie bereits dargelegt wurde, kommt einem ftmktionsfähi- 
gen Wettbewerb im Telekommunikationsmarkt eine hohe 
Bedeutung für die Erreichung verschiedenster Zielsetzun- 
gen zu: Neben der Steigerung von Qualität und der Ge- 
währleistung wettbewerbsorientierter Endkundenpreise 
trägt ein intensiver Wettbewerb insbesondere auch we- 
sentlich zur Schaffung eines fiächendeckenden Zugangs 
zum Internet bei. Trotzdem gibt es Gebiete, in denen bis- 
her noch kein breitbandiger Intemetzugang zur Verfü- 
gung steht. Durch die Vorgabe bei der Frequenzzuteilung, 
bisher unterversorgte Gebiete zuerst mit Mobilfunk der 
vierten Generation zu versorgen, konnte dies aber teil- 
weise kompensiert werden. 

Dies gilt gleichermaßen für den Wettbewerb der Infra- 
stmkturen untereinander als auch für den Wettbewerb der 
über eine einzelne Infrastmktur realisierten Dienste. Letz- 
terer erlangt dort besondere Bedeutung, wo aus ökonomi- 
schen Gründen der parallele Aufbau mehrerer Infrastmk- 
turen wirtschaftlich nicht möglich ist. Gerade beim 
Ausbau von Ultra-Breitband sind oft derart hohe Investi- 
tionen notwendig, dass ein Ausbau nur unter Nutzung 
von Synergien zwischen den Infrastrukturbetreibem sinn- 
voll erscheint. Für eine hinreichende Auslastung einer 
neu errichteten Netzinfrastmktur als Voraussetzung für 
deren Amortisiemng sind häufig Penetrationsraten not- 
wendig, die im Falle einer weiteren, ebenso leistungsfähi- 
gen Konkurrenzinfrastmktur nur schwer zu erreichen 
sind. Um unter diesen Gegebenheiten einen funktionsfä- 
higen Wettbewerb zu ermöglichen, isf es zwingend not- 
wendig, die Realisiemng von im Wettbewerb stehenden 
Diensten durch verschiedene Diensteanbieter auf der Inf- 
rastruktur zu ermöglichen. 

Die Anbieterstmktur hat sich seit Mitte der 1990er Jahre 
stark verändert: Damals war sie geprägt durch viele 
kleine lokale Anbieter, die aber keine eigene Leitungsin- 


Dem Petitionsausschuss des Deutschen Bundestages liegt eine Peti- 
tion (Netzzugang - Rechtsnorm für Zugang zu kabellosen Netzwer- 
ken, 4. Januar 2011, Nr. 15983) des Petenten Stefan Meiners zu die- 
sem Thema vor. Die Petition befindet sich zur Zeit bei den 
Berichterstattern zur Prüfung. Die Petition ist online abrufbar unter: 
https://epetitionen.bundestag.de/petitionen/_2011/_01/_04/Petition_ 
15983.nc.html 
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frastruktur betrieben. Die Einwahl ins Internet erfolgte 
über das normale Telefonnetz; die verfügbaren Modems 
modulierten die Datenübertragung mit Tönen im hörba- 
ren Bereich. Die letzte Meile bis zum Endkunden wurde 
also in der Regel über die normale Telefonleitung des 
ehemaligen Monopolisten betrieben. Mit dem Einsatz 
neuer Technologien wie DSL und dem Einstieg bundes- 
weiter Intemetzugangsanbieter änderte sich dies: Der 
harte Wettbewerb und niedrige Gewinnmargen im End- 
kundengeschäft sorgten dafür, dass viele kleine Anbieter 
nicht mehr mithalten konnten und nun nur noch spezielle 
Nischen bedienen oder ganz verschwunden sind. Der 
Markt wird im Wesentlichen von sechs Providern be- 
herrscht, wobei die Telekom als Ex-Monopolist auf rund 
50 Prozent Marktanteil kommt. Im Gegensatz zu den 
1990er Jahren herrscht in gut ausgebauten Gebieten aller- 
dings ein Wettbewerb auf der letzten Meile sowie ver- 
schiedener Infrastrukturen. Die für Endkunden sicht- 
barste Folge der Veränderungen sind insgesamt drastisch 
gefallene Kosten. 

3.2.1 Wettbewerb verschiedener 
Infrastrukturen 

Die dargestellte technische Entwicklung erlaubt in städti- 
schen Gebieten zunehmend auch einen intensiven Wett- 
bewerb verschiedener Infrastrukturen, die alle eine nach- 
fragegerechte Breitbandversorgung ermöglichen. Dies 
schließt in jedem Fall die oft parallel ausgebauten Fest- 
netztechnologien Kupfer- und TV-Kabel, zunehmend 
auch Glasfaserkabel, ein. Hinzu tritt die dank neuer Mo- 
bilfunkgenerationen immer leistungsfähiger werdende 
Mobilfunkversorgung, die mit LTE sogar zu einer validen 
Alternative zu einem Festnetzanschluss wird. 

Diese heterogene Infrastruktur aus regionalen, teilweise 
auch lokalen Glasfaser- und glasfaserbasierten TV-Kabel- 
netzen sowie den Mobilfunknetzen wird die Markt- und 
Wettbewerbslandschaft künftig genauso prägen wie die 
Vielschichtigkeit der Marktteilnehmer. Neben klassischen 
Telekommunikationsuntemehmen und reinen Dienstleis- 
tungsanbietem beteiligen sich zunehmend zum Beispiel 
auch Stadtwerke und Energieversorgungsuntemehmen 
mit einer Vielzahl unterschiedlicher Kooperations- und 
Risikoteilungsmodellen am Aufbau und Betrieb aktiver 
und passiver Infrastrukturen. Trotz der mit Kooperationen 
erzielbaren Synergieeffekte und Wirtschaftlichkeitsvor- 
teile ist ein paralleler Aufbau mehrerer Hochgeschwin- 
digkeitsnetze mit Blick auf den hohen Fixkostenanteil ge- 
rade in dünn besiedelten Regionen ökonomisch häufig 
aber nicht sinnvoll. Deshalb bedarf es neben dem Infra- 
strukturwettbewerb vor allem in diesen Bereichen des 
zusätzlichen Wettbewerbs auf der Ebene der über diese 
Infrastrukturen realisierten Telekommunikations- und Te- 
lemediendienste. 

Insbesondere beim künftigen Glasfaserausbau zeigt die 
bereits zitierte WIK-Studie für das NGA-Forum der Bun- 


Vgl. dazu 0 . V.: Breitband-Kundenbestand der Top-6-Provider. onli 
nekosten.de, Quartal 3/2012. Online abrufbar unter: http://www.onli 
nekosten.de/breitband/breitbandkunden 


desnefzagentur, dass ein wirtschaftlicher Ausbau oft erst 
bei Penetrationsraten von mindestens 60 Prozent möglich 
ist und Kooperationen beim Aufbau und Betrieb daher 
von zentraler Bedeutung sind . >22 

Um für die Endkunden trotz der gegebenenfalls vorhan- 
denen Dominanz einer einzelnen kabelgebundenen Glas- 
faserinfrastruktur in der betreffenden Region ein umfas- 
sendes und vielfältiges Diensteangebot mit möglichst 
gleichgearteten Leistungsmerkmalen sicherstellen zu 
können, stehen grundsätzlich freiwillige oder regulierte 
Open Access-Zugangmodelle auf Vorleistungsebene zur 
Wahl. Unter Open Access wird ein Konzept zum Zugang 
zu Vorleistungsprodukten eines Infrastrukturinhabers ver- 
standen. '23 Freiwillige Zugangsmodelle basieren auf den 
Prinzipien der Freiwilligkeit, Transparenz und Diskrimi- 
nierungsfreiheit und setzen zunächst auf freiwillige An- 
gebofe, Kooperationen und Verhandlungslösungen der 
Marktteilnehmer selbst. Regulierte Zugangsmodelle ba- 
sieren demgegenüber auf regulatorischen Vorabverpfiich- 
tungen, mit denen diskriminierungsfreie Zugangs- und 
Nutzungsbedingungen für alle Marktteilnehmer durch die 
nationalen Regulierungsbehörden ex ante geschaffen 
werden. Beide Modelle zielen in unterschiedlichem Maße 
darauf ab, dass Provider und Diensteanbieter ohne eigene 
Infrastruktur vor Ort den Endkunden weiterhin attraktive 
Angebote unterbreiten können, die Auslastung und Effi- 
zienz der errichteten Netze erhöht wird und der Wettbe- 
werb aufrechterhalten bleibt. 

Beim Glasfaserausbau wird angesichts der bereits er- 
wähnten hohen Investitionskosten eine zusätzliche Kom- 
plexität entstehen. Anders als bei der Errichtung des Kup- 
ferkabelnetzes durch den damaligen Staatsmonopolisten 
gibt es beim Aufbau eines bundesweit fiächendeckenden 
Glasfasemetzes nicht mehr nur einen zentralen Akteur. 
Wie bereits ausgeführt, werden häufig lokal und regional 
eigenständige Unternehmen den Ausbau vorantreiben, oft 
dabei auch Unternehmen aus anderen Branchen, etwa 
Energieuntemehmen oder Stadtwerke. Beim Aufbau und 
Betrieb dieser Breitbandinfrastmkturen wird der Gewähr- 
leistung von Interoperabilität eine essenzielle Bedeutung 
zukommen. Die steigende Anzahl lokaler Breitbandnetze 
erfordert die technische Standardisiemng von Schnittstel- 


122 Ygi Stephan/Neumann, Karl-Heinz/Plückebaum, Thomas (Wis- 
senschaftliches Institut für Infrastruktur und Kommunikationsdienste 
(WIK)): Implikationen eines flächendeckenden Glasfaserausbaus 
und sein Subventionsbedarf - Zusammenfassung der Ergebnisse ei- 
nes Forschungsprojektes. September 2011, S. 32 ff Online abrufbar 
unter: http://www.bundesnetzagentur.de/SharedDocs/Downloads/DE 
/BNetzA/Sachgebiete/Telekommunikation/Regulierung/NGAForum/ 

15teSitzung/NGAForum20 1109_WIKStudieFolien.pdf? blob=publi 

cationFile 

•23 Hinweis: Der Begriff Open Access wird auch im Kontext mit Wis- 
senschaft und Forschung verwandt. Dort bezeichnet er die für Nutzer 
kostenfreie und öffentlich zugängliche Bereitstellung wissenschaftli- 
cher Publikationen und Daten im Internet. Siehe hierzu den sechsten 
Zwischenbericht der Enquete-Kommission Internet und digitale Ge- 
sellschaft zum Thema Bildung und Forschung. Bundestagsdrucksa- 
che 17/12029: Sechster Zwischenbericht der Enquete-Kommission 
Internet und digitale Gesellschaft. Bildung und Forschung. 8. Januar 
2013. Online abrufbar unter: http://dipbt.bundestag.de/dip21/btd/17/ 
120/1712029.pdf 
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len und Prozessen, um den Netzzugang zu ermöglichen. 
Eine zu große Vielfalt von Schnittstellen und Prozeduren 
wird nicht mehr praktikabel sein. Deshalb ist eine bun- 
desweite Definition standardisierter Schnittstellen und 
Prozesse von erheblicher Bedeutung, um Zugang und da- 
mit einen intensiven Wettbewerb bei den auf der Infra- 
struktur realisierten Diensten zu erreichen. '^4 

3.2.2 Fortdauernde Bedeutung des 
Dienstewettbewerbs innerhalb 
einer Infrastruktur 

Im Rahmen der Liberalisierung des Telekommunikations- 
sektors hat der Dienstewettbewerb, das heißt bei Verwen- 
dung zumindest teilweise derselben Infrastruktur, einen 
wesentlichen Beitrag zur Entstehung eines intensiven 
Wettbewerbs geleistet. Deutschland steht hier - gerade 
auch dank der entsprechenden regulatorischen Vorgaben 
- im internationalen Vergleich mit einem grundsätzlich 
guten Wettbewerbsergebnis da.'^s in der Betrachtung der 
Bedeutung des Dienstewettbewerbs ist daher zwischen 
Auf- oder auch Ausbau der Netzinfrastruktur auf der ei- 
nen und Betrieb von Netzinfrastruktur auf der anderen 
Seite zu unterscheiden. Während es beim Auf- und Aus- 
bau um die Schaffung von Infrastruktuwettbewerb geht, 
gilt beim Betrieb, dass hier auch ein reiner Dienstewett- 
bewerb seine eigenständige Relevanz zur Sicherung viel- 
fältiger und attraktiver Angebote für den Endkunden auch 
bei sich entwickelndem Infrastrukturwettbewerb behält. 

Von besonderer Bedeutung ist der Dienstewettbewerb 
insbesondere dort, wo aus wirtschaftlichen Gründen eine 
Doppelung von Infrastrukturen nicht zu erwarten ist. Hier 
kommt einem funktionierenden Dienstewettbewerb auf 
einer einheitlichen Infrastruktur eine zentrale Rolle zu. 
Beim gemeinsamen Aufbau und Betrieb von Telekommu- 
nikationsinfrastrukturen haben die Gewährleistung von 
Interoperabilität, die Förderung von Investitionen und 
Innovationen sowie die Sicherung von Wettbewerb und 
Wahlfreiheit der Endverbraucher im Mittelpunkt zu ste- 
hen. Künftig werden Unternehmen den Zugang zu Netzen 


Zum Thema Interoperabilität siehe Bundestagsdrucksache 17/12495: 
Zehnter Zwischenbericht der Enquete-Kommission Internet und digi- 
tale Gesellschaft. Interoperabilität, Standards, Freie Software. Online 
abrufbar unter: http://dipbt.bundestag.de/extrakt/ba/WP17/246/24667. 
html 

•25 So ist etwa im internationalen Vergleich des von der Organisation for 
Economic Co-operation and Development (OECD) herausgegebenen 
OECD Communications Outlook 2011 der Marktanteil von neuen 
Marktteilnehmern im Wettbewerb („New entrants“) an den Festnetz- 
anschlüssen für Deutschland im Jahr 2009 mit 33 Prozent ausgewie- 
sen und hat damit im europäischen Vergleich einen der höchsten 
Werte. Vgl. OECD: OECD Communications Outlook 2011. Juni 
2011, S. 57. Online abrufbar unter: www.oecd.org/sti/telecom/outlook. 
Der Anteil hat sich seitdem in Deutschland weiter erhöht; 38 Prozent 
im Jahr 2011 nach dem Tätigkeitsbericht 2010/11. Telekommunika- 
tion der Bundesnetzagentur. Vgl. Bundesnetzagentur: Tätigkeitsbe- 
richt 2010/2011. Telekommunikation. Dezember 2011, S. 31 ff. 
Online abrufbar unter http://www.bundesnetzagentur.de/SharedDocs/ 
Downloads/DE/BNetzA/Presse/Berichte/2011/TaetigkeitsberichtTK20 

102011pdf.pdf? blob=publicationFile. Hinzu kommt ein steigender 

Wettbewerbsabteil der Kabelanbieter. Unverändert verfügt aber der 
Incumbent Deutsche Telekom in relevanten Märkten über erhebliche 
Marktmacht im Sinne der EU-TK-Marktregulierung. 


Dritter nachfragen, um ein möglichst fiächendeckendes 
Produktangebot zu erreichen, denn viele Marktakteure 
werden auch künftig Produkte bundesweit anbieten wol- 
len und aus wirtschaftlicher Sicht sogar müssen. 

Der Zugang zu Netzen Dritter sichert so einen diskrimi- 
nierungsfreien Wettbewerb und sorgt damit für Angebote, 
die es den Endkunden ermöglichen, frei zwischen mög- 
lichst unterschiedlichen Produkten, Qualitäten, Preisen 
und Anbietern zu entscheiden. 

An dieser Stelle kommt der Entwicklung von Marktlö- 
sungen in Form von freiwilligen oder regulierten Koope- 
rationsmodellen eine zentrale Bedeutung zu - das Stich- 
wort lautet Open Access beim Netzzugang. Dort, wo sich 
und soweit sich Infrastrukturinhaber und Nachfrager un- 
ter Beachtung der Prinzipien Freiwilligkeit, Transparenz 
und Diskriminierungsfreiheit auf Leistungsspezifika und 
Preise für einen Zugang einigen, kann freiwilliges Open 
Access auch als marktgerechte und wettbewerbsfÖr- 
demde Alternative zur herkömmlichen Regulierung ange- 
sehen werden. Das freiwillige Open Access-Konzept ist 
jedoch keinesfalls mit symmetrischer Regulierung gleich- 
zusetzen oder zu verwechseln. Im Fall der Nichteinigung 
auf kommerzieller Basis können regulatorische Instru- 
mente zur Anwendung kommen, wie zum Beispiel die 
Anordnung von Zugangsansprüchen oder eine Entgeltre- 
gulierung im Rahmen der entsprechenden rechtlich-regu- 
latorischen Voraussetzungen, etwa nach den Regelungen 
und Verfahren des Telekommunikationsgesetzes (TKG). 

Zwar ist im Telekommunikationsgesetz die Regulierung 
einer marktbeherrschenden Stellung der wesentliche An- 
satz. Darüber hinaus ist es nach den neuen EU-Richtli- 
nien, insbesondere nach Artikel 12 der Rahmenrichtli- 
nie aber auch möglich, Unternehmen beziehungsweise 
Eigentumsrechteinhabem symmetrische Regulierungs- 
verpflichtungen aufzuerlegen. 

„Die nationale Regulierungsbehörde kann demnach unter 
Beachtung der Verhältnismäßigkeit die gemeinsame Nut- 
zung [vorhandener Infrastruktur] vorschreiben, wozu un- 
ter anderem Gebäude, Gebäudezugänge, Verkabelungen 
in Gebäuden, Masten, Antennen, Türme oder andere Trä- 
gerstrukturen, Leitungsrohre, Leerrohre, Einstiegsschächte 
und Verteilerkästen gehören. “'^7 in anderen europäischen 
Ländern (zum Beispiel Frankreich oder Portugal) haben 
die nationalen Regulierungsbehörden bereits entspre- 
chende Zugangsverpflichtungen fiir die Inhaus- Verkabe- 
lung erlassen, welche als Engpass beziehungsweise not- 


Richtlinie 2002/1 9/EG des Europäischen Parlaments und des Rates 
vom 7. März 2002 über den Zugang zu elektronischen Kommunika- 
tionsnetzen und zugehörigen Einrichtungen sowie deren Zusammen- 
schaltung (Zugangsrichtlinie). ABI. L 108 vom 24. April 2002, 
S. 7-20. Online abrufbar unter: http://eur-lex.europa.eu/LexUriServ/ 
LexUriServ.do?uri=OJ:L:2002:108:0007:0020:DE:PDF 
•27 Nett, Lorenz/Stumpf, Ulrich: Symmetrische Regulierung: Möglich- 
keiten und Grenzen im neuen EU-Rechtsrahmen. Diskussionsbeitrag 
Nr. 350, hrsg. von Wissenschaftliches Institut für Infrastruktur und 
Kommunikationsdienste (WIK), Februar 2011, S. III. Online abruf- 
bar unter: http://www.wik.org/index.php?id=diskussionsbeitraegede 
tails&tx_ttnews[tt_news]=1267&tx_ttnews[backPid]=93&cHash=e6 
Ib9368de3b3f6155d5 1 1 14c85b697b 
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wendige Voraussetzung betrachtet wird. Ein Gutachten 
des Wissenschaftlichen Instituts für Infrastruktur und 
Kommunikationsdienste (WIK) vom Februar 2011 schlägt 
entsprechende Maßnahmen auch für Deutschland vor. 
Exklusivvereinbarungen mit Kabelnetzbetreibem halten 
die Autoren hingegen für „regulierungsökonomisch pro- 
blematisch“. 

3.2.3 Auswirkung zunehmender Verbreitung 
integrierter Geschäftsmodeiie 

Schon heute ist zu beobachten, dass viele Telekommuni- 
kationsanbieter neben den reinen Transportleistungen und 
der Sprachtelefoniefunktion auch weiterführende Diensfe, 
etwa Femsehen/Video im Paket anbieten (Triple-Play/ 
Quadruple-Play'29). Es ist anzunehmen, dass diese Ent- 
wicklung auch in Zukunft weiter voranschreiten wird, da 
eine Refinanzierung der immer leistungsfähigeren Inter- 
netzugangsdienste erleichtert wird, wenn zusätzliche Er- 
löse über weitere Dienste erzielt werden können. Zugleich 
steigt die Zahlungsbereitschaft der Kunden, wenn sie den 
Mehrwert einer höheren Leistungsbereitschaft der An- 
schlüsse durch leistungsfähigere Diensfe erkennen. Die 
Bereitsfellung verschiedener Diensfe aus einer Hand ist 
dabei keine Notwendigkeit, aber ein von den Kunden be- 
sonders gern akzeptiertes Modell, da dieses Klarheit über 
den Ansprechpartner, eine vereinfachte Abrechnung und 
technisch voll integrierte Gesamtangebote erlaubt. 

Den Vorteilen von integrierten Geschäftsmodellen für den 
Endkunden sfehen aber auch potenzielle Bedrohungen für 
den Wettbewerb sowie die Wahrung der Netzneutralität 
gegenüber. Dies gilt etwa für den theoretischen Fall, dass 
ein Netzbetreiber seine eigenen Dienste beim Zugang zu 
Vorleistungen/lnfrastrukturleistungen bevorzugen würde. 
Auch aus einer bevorzugten Positionierung oder gesonder- 
ten Verkaufsförderung eigener beziehungsweise verbun- 
dener Diensfe im Rahmen von Orientierungshilfen im 
Netz (zum Beispiel Suchmaschinen, Benutzeroberflächen, 
App Stores, Elektronischen Programmführem (Electronic 
Program Guide - EPG)) können Gefahren für den Wettbe- 
werb erwachsen. 

Gegen solche Missbräuche stehen bereits heute Schutz- 
mechanismen zur Verfügung. Sie reichen von einfachen 
Nichtdiskriminierungsaufiagen oder auch konkreten Zu- 
gangsansprüchen über Transparenzpfiichten bis hin zu 


>2* Ebd., S. 27. 

•29 Triple-Play ist ein Begriff des Marketing und bezeichnet die Bünde- 
lung von drei Diensten (TV, Internet und Telefonie) in einem Ange- 
bot. Beim Quardruple-Play ist zusätzlich die Mobilkommunikation 
enthalten. 

•20 Dies würde zudem einen Verstoß gegen das in der zuständigen Pro- 
jektgruppe und im Rahmen des nationalen IT-Gipfels erarbeitete 
Verständnis von Netzneutralität darstellen. Vgl. hierzu Bundestags- 
drucksache 17/8536: Vierter Zwischenbericht der Enquete-Kommis- 
sion Internet und digitale Gesellschaft. Netzneutralität. 2. Februar 
2012. Online abrufbar unter: http://dipbt.bundestag.de/dip21/btd/17/ 
085/1708536. pdf sowie Bundesministerium für Wirtschaft und Tech- 
nologie: Netzneutralität - 11 Thesen für eine gesellschaftspolitische 
Diskussion. Fünfter Nationaler IT-Gipfel. November 2010, S. 2, The- 
se 10. Online abrufbar unter: http://www.it-gipfel.de/Dateien/BMWi/ 
PDF/IT-Gipfel/it-gipfel-2010-netzneutralitaet,property=pdf,bereich= 
itgipfel,sprache=de,rwb=true.pdf 


einschneidenden Maßnahmen wie der Untersagung integ- 
rierter Geschäftsmodelle oder gar die Aufspaltung ent- 
sprechender Unternehmen. Letztere kommen aber nur als 
Ultima Ratio in Betracht. 

3.3 Staatliche Handlungsoptionen zur 

Förderung von Breitbandverfügbarkeit 

Neben der Rolle als Bewahrer von Wettbewerb und zur 
Verhinderung von Fehlentwicklungen im Markt kann der 
Staat auch aktiv eine Rolle zur Förderung der Verfügbar- 
keit leistungsfähiger fntemetzugänge übernehmen. 

3.3.1 Berücksichtigung der 
Nachfrageentwicklung 

Eine möglichst flächendeckende Verfügbarkeit hochleis- 
tungsfähiger Kommunikationsinfrastruktur zu erreichen, 
wird zu einem zentralen Ziel für die Wettbewerbsfähig- 
keit einer hoch entwickelten Industrienation. Bei der Be- 
stimmung des nur stufenweise erreichbaren Ziels muss je- 
doch auch immer die tatsächlich bestehende Nachfrage 
berücksichtigt werden. Diese ist bestimmender Faktor für 
die Wirtschaftlichkeit bei der Schaffüng entsprechender 
Angebote. Marktuntersuchungen zeigen, dass bislang nur 
eine geringe Ausprägung der auch durch zusätzliche Zah- 
lungsbereitschaft hinterlegten Nachfrage der Kunden 
nach noch leistungsfähigeren Anschlüssen besieht, wenn 
bereits ein Anschluss mit einer Bandbreite zur Nutzung 
der gängigen Anwendungen vorhanden ist.'^i Erst das 
schrittweise Entstehen immer neuer Verwendungsformen 
und attraktiver Diensteangebote könnte diese Zahlungs- 
bereitschaft langsam steigen lassen. Insofern kommt der 
Entwicklung innovativer Dienste eine ebenso große Be- 
deutung für den Breitbandausbau zu wie dem eigentli- 
chen Ausbau der Infrastruktur; beide können nur Hand in 
Hand erfolgen. Demzufolge kann auch die Entwicklung 
entsprechender staatlicher Angebote, etwa in den Berei- 
chen E-Govemment'32^ E-Leaming'^^ oder E-Health'^"*, 
eine fördernde Wirkung auf die Nachfrage nach Breit- 
banddiensten und damit auf den Ausbau von Hochge- 
schwindigkeitsnetzen haben. 

3.3.2 Förderung von Kooperationen 

Angesichts der hohen Investitionssummen, die für den 
weiteren Ultra-Breitband- Ausbau in Deutschland erfor- 


•2^ Nach der bereits zitierten Markstudie der United Internet Media für 
das NGA-Forum der Bundesnetzagentur von November 2010 (vgl. 
Fußnote 115) hatten 38 Prozent der Befragten überhaupt keine Zah- 
lungsbereitschaft, unter den überhaupt Zahlungsbereiten hatte die 
Mehrheit eine maximale Zahlungsbereitschaft von bis zu fünf Euro 
Aufpreis pro Monat. 

•22 E-Govemment wird laut Duden bezeichnet als die „Durchführung 
von Prozessen, die zwischen staatlichen Institutionen oder zwischen 
staatlicher Institution und Bürger ablaufen, mithilfe der Informa- 
tionstechnologie“. 

•22 E-Leaming wird laut Duden bezeichnet als „computergestütztes Ler- 
nen, bei dem Schüler und Lehrer räumlich getrennt voneinander sind 
und vor allem über das Internet in Kontakt stehen“. 

•24 E-Health wird laut Duden bezeichnet als „Einsatz von Computern 
und Internet im Gesundheitswesen“. 
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derlich sind, wird Kooperationen versehiedener Unter- 
nehmen eine immer größere Bedeutung zukommen. Von 
den Kosten fiir den Ausbau der Festnetzinfrastruktur ent- 
fallen etwa 70 Prozent auf den Tiefbau. Daher wird 
etwa in der Breitbandstrategie der Bundesregierung die 
Mitbenutzung bestehender passiver und aktiver Infra- 
strukturen angeregt. Effiziente Investitionen und 
Innovationen im Bereich neuer und verbesserter Infra- 
strukturen können dabei auch dadurch gefördert werden, 
dass bei Regulierungsentscheidungen Investitionsrisi- 
ken berücksichtigt sowie kartellrechtlich unbedenkliche 
Vereinbarungen zur Verteilung des Investitionsrisikos 
zwischen Investoren und Zugangsbewerbem zugelas- 
sen werden. 

Unterstützend wirkt, wenn Kooperationen von Netzbe- 
treibem auf möglichst geringe administrative Hürden 
treffen. Gleichzeitig kann in einem solchen Fall der Wett- 
bewerb gesichert werden, indem neben der Berücksichti- 
gung der allgemeinen kartellrechtlichen Diskriminie- 
rungsregeln auch Zugang für Dritte nach dem bereits 
beschriebenen Open Access-Grundsatz von den Koopera- 
tionspartnern gewährt wird. 

Förderlich auf den Breitbandausbau kann sich auch die 
Sammlung, Aufbereitung und Bereitstellung von Informa- 
tionen über bestehende und nutzbare Infrastrukturen aus- 
wirken, die entweder in staatlicher Hand ohnehin verfüg- 
bar sind oder die der Staat als Moderator zwischen den 
verschiedensten Beteiligten Zusammentragen und veröf- 
fentlichen kann. Beispiele hierfür sind der bereits existie- 
rende Infrastrukturatlas oder der zumindest in einzelnen 
Bundesländern bereits verwirklichte Grabungsatlas'^*. 
Durch die Nutzung geeigneter Infrastrukturen oder ohne- 
hin geplanter und insoweit geeigneter Bauvorhaben für die 
Verlegung von Glasfaserinfrastrukturen lassen sich öko- 
nomisch unsinnige Doppelgrabungen vermeiden und Be- 
lästigungen für die Anwohner durch Baulärm erheblich re- 
duzieren. Der Wert solcher Datensammlungen steigt 
wesentlich, wenn eine Datenbank sämtliche relevanten 
und geeigneten Baumaßnahmen umfasst und nicht allein 
diejenigen öffentlicher Träger. Im Falle regionaler und lo- 
kaler Datenbanken hilft die Bereitstellung einheitlicher 
Schnittstellen, da diese die Datennutzung für ausbauwil- 
lige Unternehmen wesentlich erleichtert. 

Weiterhin hat sich im Rahmen der Arbeit des NGA-Fo- 
rums der Bundesnetzagentur in den letzten Jahren ge- 


135 Ygi Bundesministerium für Wirtschaft und Technologie: Breitband- 
strategie der Bundesregierung. Februar 2009, S. 10. Online abrufbar 
unter: http://www.bmwi.de/Dateien/BBA/PDF/breitbandstrategie-der- 
bundesregierung,property=pdf,bereich=bmwi,sprache=de,rwb=true. 
pdf 

136 Vgl. ebd., S. 10 f. 

137 Weiterführende Informationen zum Inffastrukturatlas sind auf der 
Webseite der Bundesnetzagentur zu finden. Online abrufbar unter: 
http://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunika 
tion/Infrastrukturatlas/infrastrukturatlasnode.html 

138 Als Beispiel kann der Grabungsatlas des Geodaten-Informations- 
dienstes Bayern genannt werden. Online abrufbar unter: http://geo 
portal. bayem.de/geoportalbayem/anwendungen/Suche/ci=5e 1 5f077 
6ae0fld64244a8a40eabe48b/fi=701cfbec-c6c0-3cda-88ae-e97da477 
2fc4/Grabungsatlas 


zeigt, dass auch in der Förderung und der Moderation des 
Dialogs der Marktteilnehmer untereinander ein wesentli- 
cher Beitrag des Staates liegen kann. Hierdurch ist es ge- 
lungen, nicht nur ein gemeinsames Verständnis von den 
zukünftigen technischen und wirtschaftlichen Herausfor- 
derungen des NGA-Ausbaus zu entwickeln, sondern ganz 
konkret Vereinbarungen zur Schaffung von Interoperabi- 
lität bei zukünftigen Kooperationen von Netzbetreibem 
auf der einen Seite und Diensteanbietem auf der anderen 
Seite zu treffen. Dies ist als maßgeblicher Schritt für 
die künftige Entwicklung von NGA-Netzen anzusehen, 
da eine Standardisierung bei der technischen Interopera- 
bilität und der Ausgestaltung von Geschäftsprozessen 
zwangsläufige Voraussetzung ist, um zu wirtschaftlich 
darstellbaren Konditionen Vorleistungskooperationen in 
diesem Markt zu realisieren. 


3.3.3 Investitionszuschüsse 

Ein wirtschaftlicher Ausbau ist nicht immer möglich, 
weil etwa die Topographie eine Erschließung massiv ver- 
teuert. Infolgedessen können den Kunden keine ausrei- 
chenden Zugänge angeboten werden, ln diesen Regionen 
können im Einzelfall auch fnvesfitionszuschüsse der öf- 
fentlichen Hand beziehungsweise gezielte Investitionsan- 
reize helfen. 140 Neben der direkten Zahlung sind hier bei- 
spielsweise auch steuerliche Vergünstigungen denkbar. 
Daneben kann dies auch durch Verbindung von Ausbau- 
pfiichten mit der Gewährung sonstiger Rechte, etwa im 
Rahmen von Frequenzzuteilungsverfahren, einhergehen. 
Die erforderliche Wettbewerbsneutralität von solchen 
Vorteilsgewährungen an einzelne ausbauende Unterneh- 
men kann durch zusätzliche Verpflichtungen der Begüns- 
tigten erreicht werden, etwa zu einer Zugangsgewährung 
nach den bereits beschriebenen Open Access-Regeln. 

Die Breitbandstrategie der Bundesregierung weist auf die 
Bedeutung wettbewerbsneutraler staatlicher Förderpro- 
gramme für die Erschließung ländlicher Regionen mit 
breitbandiger Infrastruktur hin.'^i Gefordert wurde bis- 
lang beispielsweise im Rahmen der Gemeinschaftsauf- 
gabe zur Verbesserung der Agrarstruktur und des Küsten- 
schutzes (GAK).'''^ 


139 Vgl. Bundesnetzagentur: Bericht des NGA-Forums. 8. November 

2011, S. 7 f. Online abrufbar unter: http://www.bundesnetzagen 
tur.de/SharedDocs/Downloads/DE/BNetzA/Sachgebiete/Telekommu 
nikation/Regulierung/NGAForum/16teSitzung/Endbericht_NGAFo 
rum_111108.pdf? blob=publicationFile Die einzelnen Spezifikatio- 

nen sind zusammengestellt und verlinkt auf der Webseite der Bun- 
desnetzagentur. Online abrufbar unter: http://www.bundesnetzagen- 
tur.de/cln_l 9 1 1 /DE/Sachgebiete/Telekommunikation/RegulierungTe 
lekommunikation/NGAForum/NGAForumnode.html 

140 Vgl. Bundesministerium für Wirtschaft und Technologie: Breitband- 
strategie der Bundesregierung. Februar 2009, S. 15 f. Online abrufbar 
unter: http://www.bmwi.de/Dateien/BBA/PDF/breitbandstrategie-der- 
bundesregierung,property=pdf,bereich=bmwi,sprache=de,rwb=true. 
pdf 

*41 Vgl. ebd. 

142 Vgl. Bundesministerium für Wirtschaft und Technologie/Bundes- 
ministerium für Ernährung, Landwirschaft und Verbraucherschutz: 
Möglichkeiten der Breitbandförderung. Februar 2010, S. 6 f Online 
abrufbar unter: http://www.bmeiv.de/SharedDocs/Downloads/Bro 
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Daneben treten Fördermöglichkeiten der KfW-Banken- 
gruppe. Im Rahmen des Vermittlungsverfahrens zum Te- 
lekommunikationsgesetz wurde verabredet, dass die Bun- 
desregierung gemeinsam mit den Bundesländern und der 
KfW Vorschläge erarbeitet, um den Breitbandausbau in 
Deutschland noch gezielter zu fordern. Dabei sollen be- 
stehende KfW-Programme sowohl für Kommunen als 
auch für Unternehmen präziser beschrieben und Maßnah- 
men zur Verbesserung des Bekanntheitsgrades ergriffen 
werden. Darüber hinaus soll eine erhöhte Transparenz der 
Programme zur Verbesserung der Antragsquote führen. 
Gleichzeitig wurde eine Evaluation der Nutzung von 
Bundes- und Länderprogrammen beziehungsweise mög- 
licher Nutzungshemmnisse für den Breitbandausbau ver- 
abredet. Diese Evaluation soll gegebenenfalls Grundlage 
für eine Veränderung der Programme sein. 

3.3.4 Universaldienstverpflichtung 

Nach Artikel 32 der EU-Universaldienstrichtlinie''*^ kön- 
nen die Mitgliedstaaten eine beliebige Bandbreite als 
Universaldienst festlegen, sofern die dadurch entstehen- 
den Kosten nicht auf die Telekommunikationsuntemeh- 
men umgelegt werden. Eine Umlage ist nur zulässig, 
wenn hieraus keine Marktverzerrung entsteht. Gemäß Ar- 
tikel 4 Absatz 2 der Richtlinie ist eine Umlage nur dann 
möglich, wenn die als Universaldienst vorgegebene 
Bandbreite nicht größer als die von der Mehrzahl der 
Teilnehmer verwendeten Bandbreiten ist. Die EU-Kom- 
mission erarbeitet derzeit eine Empfehlung über die Aus- 
legung der Richtline im Hinblick auf die Implementie- 
rung eines Breitband-Universaldienstes. Klar ist, dass 
eine Universaldienstverpflichtung aufgrund der euro- 
päischen Vorgaben technologieneutral ausgestaltet wer- 
den muss. 

Die Befürworter einer Universaldienstverpflichtung wei- 
sen darauf hin, dass es in Deutschland trotz der Aktivitä- 
ten der Telekommunikationsuntemehmen, der Fördergel- 
der der Europäischen Union (EU), des Bundes und der 
Länder sowie lokaler Initiativen noch immer unterver- 
sorgte Gebiete geben könnte. 

Daher argumentieren die Befürworter einer Universal- 
dienstverpflichtung, dass die Telekommunikationsunter- 
nehmen, die nach Marktmechanismen investieren, nicht 


schueren/Breitbandfoerderung.pdfysessionid =2A79AAE87457D59D 

50F704686ECCClA8.2_cidl54? blob=publicationFile 

•"*3 Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates 
vom 7. März 2002 über den Universaldienst und Nutzerrechte bei 
elektronischen Kommunikationsnetzen und -diensten (Universal- 
dienstrichtlinie). ABI. L 108 vom 24. April 2002, S. 51-77. Online 
abrufbar unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do? 
uri=OJ:L:2002: 108:005 1 :0077:DE:PDF, zuletzt geändert durch: 
Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates 
vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG 
über den Universaldienst und Nutzerrechte bei elektronischen Kom- 
munikationsnetzen und -diensten, der Richtlinie 2002/58/EG über 
die Verarbeitung personenbezogener Daten und den Schutz der Pri- 
vatsphäre in der elektronischen Kommunikation und der Verordnung 
(EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz. 
Text von Bedeutung für den EWR. ABI. L 337 vom 1 8. Dezember 2009, 
S. 11-36. Online abrufbar unter: http://eur-lex.europa.eu/LexUriServ/ 
LexUriServ.do?uri=OJ:L:2009:337:0011:0036:DE:PDF 


alle „weißen Flecken“ erschließen könnten und dass sich 
der Universaldienst ausschließlich auf die letzten, trotz 
bestehender Fördermaßnahmen weiterhin aus betriebs- 
wirtschaftlicher Sicht unrentablen „weißen Flecken“ so- 
wie die bisher unterversorgten Regionen vor allem im 
ländlichen Raum auswirken würde. Mit einer Universal- 
dienstverpflichtung würde man auf das Versagen des 
Marktes reagieren und die unter Kapitel l/2dargestellte 
verfassungsrechtliche Verpflichtung des Bundes erfüllen. 
Somit wäre der Universaldienst eine Ultima-Ratio-Maß- 
nahme zur Sicherstellung eines bestimmten Grundversor- 
gungsniveaus. 

Die Kritiker einer Universaldienstverpflichtung befurch- 
ten, dass die Festlegung auf ein europarechtlich zulässiges 
Grundversorgungsniveau die Gefahr beinhalten würde, 
den Antrieb und die Anreize für eine zukunftsgerichtete 
Technologieausstattung durch die Privatwirtschaft zu min- 
dern und die weitere Marktentwicklung zu verfälschen. 
Demzufolge würde die Schaffung eines Universaldiensfes 
die Kräfte des Wettbewerbs, die wesentliche Treiber des 
Breitbandausbaus seien, aufheben. Anreize für aus eigener 
Kraft finanzierte Ausbauinvestitionen kämen unmittelbar 
zum Erliegen, da es mit einer Universaldienstverpflich- 
tung wirtschaftlicher wäre, auf die Anordnung eines durch 
Umlage finanzierten Ausbaus zu warten. 

Die Netzbetreiber und die Aktivitäten der Politik u. a. 
durch Fördermittel der EU, des Bundes und der Länder 
haben in Deutschland in den vergangenen Jahren die 
Breitbandversorgung bei immer geringeren Endkunden- 
preisen erheblich verbessert. Nach Angaben der Bundes- 
netzagentur wurden zwischen 1998 und 2010 über 
93 Mrd. Euro in moderne IT-Infrastrukturen investiert. 
Breitbandanschlüsse von 1 Mbit/s sind heute nahezu fiä- 
chendeckend verfügbar. 

Die Nutzung der digitalen Dividende (LTE-Technik) wird 
die Breitbandversorgung kurzfristig weiter verbessern. 
Aufgrund der in Kapitel 1/3. 1.2.1 beschriebenen Ein- 
schränkungen kann LTE den Festnetzausbau allerdings 
nicht vollständig ersetzen. 

Kapitel 2 

Sicherheit im Internet 

1 Schutz Kritischer Infrastrukturen 

im Internet 

1.1 Einleitung 

Ein Leben ohne Informationstechnologie (IT) ist heutzu- 
tage kaum vorstellbar. Moderne Gesellschaften sind auf 
funktionierende Informationsinfrastrukturen genauso an- 


Ausweislich des Tätigkeitsberichts 2010/2011. Telekommunikation 
der Bundesnetzagentur beliefen sich die Investionen von 1998 bis 
2010 auf insgesamt 93,3 Mrd. Euro. Der Anteil der alternativen An- 
bieter von dieser Summe betrug 48,5 Mrd. Euro (52 Prozent); 
44,8 Mrd. Euro (48 Prozent) entfielen auf die Deutsche Telekom AG. 
Vgl. hierzu Bundesnetzagentur: Tätigkeitsbericht 2010/2011. Tele- 
kommunikation. Dezember 2011, S. 28. Online abrufbar unter: http:// 
www.bundesnetzagentur.de/SharedDocs/Downloads/DE/BNetzA/ 

Presse/Berichte/20 1 l/TaetigkeitsberichtTK20 1 020 1 1 pdf pdf? ^blob= 

publicationFile 
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gewiesen wie auf eine zuverlässige Strom- und Wasser- 
versorgung sowie auf gut ausgebaute Verkehrsnetze. 

IT findet Anwendung in nahezu allen Lebensbereiehen 
und hat sich damit zu einer Kritischen Infrastruktur entwi- 
ckelt. Der Einsatz von IT in den klassischen Kritischen 
Infrastrukturen, wie zum Beispiel dem Energie- oder 
Transport- und Verkehrssektor, hat zu komplexen IT-ab- 
hängigen Systemen und hohen Interdependenzen zwi- 
schen verschiedenen Sektoren geführt. Fallen diese IT-ab- 
hängigen Systeme aus, kann dies zum Teil schwerwiegende 
Folgen haben, wie folgende Beispiele belegen: Bei DE- 
NIC, der zentralen Registrierungsstelle für .de-Domains, 
fielen im Mai 2010 mehrere Server aus, wodurch viele 
deutsche Webseiten zeitweise nicht erreichbar waren. 
Infolge eines Systemausfalls bei der Deutschen Flugsiche- 
rung (DFS) in München kam es im Juli 2012 zu Verspä- 
tungen und Ausfällen von Flügen.''*^ An der New Yorker 
Börse führten im August 2012 Probleme mit den IT-Sys- 
temen zu einer zeitweisen Unterbrechung des Handels.*"*^ 

Viele Prozesse in Unternehmen und Behörden sind auf 
das reibungslose Funktionieren der IT-Infrastrukturen an- 
gewiesen. Immer mehr Daten - seien es Untemehmens- 
daten oder private Daten - werden mit IT- Systemen er- 
stellt und verarbeitet, über Netzwerke wie das Internet 
transportiert und lokal oder in der Cloud gespeichert. Der 
Schaden, der mit dem Verlust von Vertraulichkeit, Integri- 
tät und Verfügbarkeit von Daten einhergeht, kann für Be- 
hörden, Unternehmen und Private enorm sein. Ein Schutz 
der IT-Infrastruktur ist zugleich auch ein Schutz der Da- 
ten beziehungsweise der aus ihnen gewonnenen Informa- 
tionen. 

Die Bedrohungen, denen IT- Systeme ausgesetzt sind, 
sind vielfältig. Sie können durch Naturgefahren, techni- 
sche Defekte, menschliches Versagen sowie gezielte An- 
griffe verursacht sein. Durch die Anbindung an das Inter- 
net werden IT-Systeme anfällig für Angriffe. Obwohl das 
Internet nicht an sich als kriminell zu betrachten ist, wer- 
den sowohl die Infrastruktur des Internets als auch die 
neu angebotenen Dienste als Tatmittel für kriminelle 
Handlungen, Sabofage- und Spionageakte missbraucht. 
Gefährdet sind allerdings auch IT-Systeme, die nicht mit 
dem Internet verbunden sind. Der Fall des Computer- 
wurms Stuxnet hat dies offenbart. Hier wurde die Schad- 


145 Vgl. beispielsweise o. V.: Ausfall der Adresszentrale: Server-Crash 
blockiert viele deutsche Webseiten. Spiegel Online, 12. Mai 2010. 
Online abrufbar unter: http://www.spiegel.de/netzwelt/web/ausfall- 
der-adresszentrale-server-crash-blockiert-viele-deutsche-webseiten-a 
-694551.html 

146 Vgl. beispielsweise o. V.: Systemausfall bei der Flugsicherung - 
Chaos am Münchener Flughafen. Süddeutsche. de, 6. Juli 2012. On- 
line abrufbar unter: http://wvm.sueddeutsche.de/muenchen/erding/ 
systemausfall-bei-der-flugsicherung-chaos-am-muenchner-flughafen- 
1.1404698 

147 Vgl. beispielsweise o. V.: Wall Street - Technikpanne verursacht 
Börsenchaos. Financial Times Deutschland, 2. August 2012. Online 
abrufbar unter: http://vmw.ftd. de/fmanzen/maerkte/:wall-street-tech 
nikpanne-verursacht-boersenchaos/7007 1350.html 

Siehe hierzu auch die Ausführungen zur Verwendung des Schlagwor- 
tes „Internet als Tatmittel“ der Polizeilichen Kriminalstatistik in Ka- 
pitel 2/2. 1.1. 


Software mittels eines USB-Sticks durch Innentäter in das 
System eingeschleust. '49 

Die Vernetzung der Kritischen Infrastrukturen kann als 
die „Achillesferse moderner Gesellschaften“'^** bezeich- 
net werden. Neue Herausforderungen an die IT-Sicherheit 
ergeben sich aus der Komplexität der IT-Infrastruktur 
selbst, aus der weiter zunehmenden Vernetzung, welche 
„die Menge der systemübergreifenden Verwundbarkeiten 
erhöht“'^' und aus der Geschwindigkeit, mit der neue Be- 
drohungen entstehen. 

Dabei wird es durch die weltweite Vernetzung „immer 
schwieriger, zwischen kriminellen und militärischen Be- 
drohungspotentialen, öffentlichen und privaten Interes- 
sen, politischen und geographischen Grenzen, innerer und 
äusserer Sicherheit von Staat und Gesellschaft zu unter- 
scheiden. 

Der Schutz Kritischer Infrastrukturen ist eine gesamtge- 
sellschaftliche Aufgabe. Die Verbesserung der IT-Sicher- 
heit und damit der möglichst weitgehende Schutz Kriti- 
scher Infrastrukturen kann nur durch gemeinsames 
Handeln von Staat, Wirtschaft und Gesellschaft erfolgen. 
Gleichzeitig handelt es sich nicht nur um eine nationale 
Aufgabe (siehe Kapitel 2/1. 3. 3). Kritische Infrastrukturen 
werden über die Grenzen eines Staates hinweg betrieben. 
Daher ist auch eine europäische (siehe Kapitel 2/1. 3. 2) 
und internationale (siehe Kapitel 2/1. 3.1) Zusammenar- 
beit unentbehrlich. 

1.1.1 Kritische informationsinfrastrukturen 
ais Teii Kritischer infrastrukuren 

Definitorisch ist zwischen Kritischen Infrastrukturen und 
Kritischen Informationsinfrastrukturen zu unterscheiden: 
Informationsinfrastrukturen werden dem Bereich der In- 
formationstechnik zugeordnet. Sie bilden eine Teilmenge 
der Kritischen Infrastrukturen. Sowohl der Sektor der In- 
formationstechnik und Telekommunikation als auch die 
IT-basierten Systeme - welche Hardware, Software sowie 
Computemetzwerke umfassen - anderer Sektoren der 
Kritischen Infrastrukturen werden dem Begriff der Infor- 
mationsinfrastrukturen zugeordnet. '53 


Siehe hierzu zum Beispiel: Kremer, Annika: Sandro Gaycken: Der 
Cyberwar ist Realität. 16. April 2011. Online abrufbar unter: http:// 
Avww.gulli.com/news/15859-sandro-gaycken-der-cyberwar-ist-reali 
taet-2011-04-16 

o. V.: Cyberwar: USA und Russland wollen virtuellen Rüstungswett- 
lauf verhindern. Spiegel Online, 14. Dezember 2009. Online abruf- 
bar unter: http://www.spiegel.de/netzwelt/netzpolitik/cyberwar-usa- 
und-russland-wollen-virtuellen-ruestungswettlauf-verhindem-a-666 
880.html 

Gaycken, Sandro: Cyberwar: Das Internet als Kriegsschauplatz. 
2011, S. 70. 

•52 Geiger, Gebhard: „Information Warfare“ - Bedrohung und Schutz 
IT-abhängiger gesellschaftliche Infrastrukturen. In: Datenschutz und 
Datensicherheit (DuD), 24. Jg. 2000, Heft 3, S. 129. 

153 Vgl. Bundesamtes für Sicherheit in der Informationstechnik: Schutz 
Kritischer Infrastrukturen. Online abrufbar unter: https://www. 
bsi.bund.de/ContentBSI/Themen/Kritis/kritisneu.html sowie die De- 
finition in: Grünbuch über ein europäisches Programm für den Schutz 
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Mit dem Schutz Kritischer Infrastrukturen befasst sich die 
vom Bundesministerium des Innern (BMI) herausgege- 
bene Nationale Strategie zum Schutz Kritischer Infra- 
strukturen (KRITIS-Strategie)N'^ Die Sicherstellung des 
Schutzes Kritischer Informationsinfrastrukturen wird seit 
2011 durch die Cyber-Sicherheitsstrategie für Deutsch- 
land'^^ adressiert, welche den bis dahin geltenden Natio- 
nalen Plan zum Schutz der Informationsinfrastrukturen 
(NPSIf^^ abgelöst hat. Um den Schutz der Informations- 
infrastrukturen in den KRITIS-Branchen weiter zu for- 
dern, hat das BMI in Zusammenarbeit mit den Betreibern 
Kritischer Infrastrukturen und deren Interessenverbänden 
den Umsetzungsplan KRITIS des Nationalen Plans zum 
Schutz der Informationsinfrastrukturen (UP KRITIS 
entwickelt. Für den Schutz der Informationsinfrastruktu- 
ren in der Bundesverwaltung hat die Bundesregierung 
den Umsetzungsplan für die Gewährleistung der IT-Si- 
cherheit in der Bundesverwaltung (UP Bund) beschlos- 
sen. 

Der Schwerpunkt des vorliegenden Kapitels liegt auf der 
Betrachtung Kritischer Informationsinfrastrukturen. Den- 
noch ist es zunächst notwendig, auf die Kritischen Infra- 
strukturen im Allgemeinen einzugehen. Anschließend 
werden Beispiele für die wachsende IT-Durchdringung 
der Kritischen Infrastrukturen aufgezeigt. 

1 . 1 . 1 .1 Definition - Kritische infrastrukturen 

Als Kritische Infrastrukturen sind allgemein Versor- 
gungs- und Dienstleistungseinrichtungen zu verstehen, 
die für das Gemeinwohl wichtig sind und deren Ausfall 
starke bis katastrophale Auswirkungen auf Staat, Wirt- 
schaft und Gesellschaft zur Folge hätte. 

Kritische Infrastrukturen wurden erstmals vom Gesetzge- 
ber in § 17 Absatz 1 Satz 2 Nummer 3 des Zivilschutz- 
und Katastrophenhilfegesetzes (ZSKG) definiert. Dieses 


kritischer Infrastrukturen (von der Kommission vorgelegt). 
KOM(2005) 576 endgültig vom 17. November 2005, S. 21. Online 
abrufbar unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do? 
uri=CELEX:52005DC0576:DE:NOT 

Bundesministerium des Innern: Nationale Strategie zum Schutz Kri- 
tischer Infrastrukturen (KRITIS-Strategie). Juni 2009. Online abruf- 
bar unter: http://www.bmi.bund.de/SharedDocs/Downloads/DE/Bro 

schueren/2009/kritis.pdf? blob=publicationFile 

Bundesministerium des Innern: Cyber-Sicherheitsstrategie für 
Deutschland. Februar 2011. Online abrufbar unter: http://www. 
bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung 

/Informationsgesellschaft/cyber.pdf? blob=publicationFile 

Bundesministerium des Innern: Nationaler Plan zum Schutz der In- 
formationsinfrastrukturen. Juli 2005. Online abrufbar unter: http:// 
www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Ver 
waltung/Informationsgesellschaft/NationalerPlanSchutzInforma 

tionsinfrastrukturen.pdf? blob=publicationFile 

Bundesministerium des Innern: Umsetzungsplan KRITIS des Natio- 
nalen Plans zum Schutz der Informationsinfrastrukturen (UP KRI- 
TIS). September 2007. Online abrufbar unter: http://w^vw.bmi.bund. 

de/SharedDocs/Downloads/DE/Broschueren/2007/Kritis.pdf? blob 

=publicationFile 

Bundesministerium des Innern: Nationaler Plan zum Schutz der 
Informationsinfrastrukturen. Juli 2005, S. 7. Online abrufbar unter: 
http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_ 
Verwaltung/Informationsgesellschaft/NationalerPlanSchutzInfor 
mationsinfrastrukturen.pdf? blob=publicationFile 


isf durch das Zivilschufzgesetzänderungsgesefz (ZSG- 
ÄndG) am 9. April 2009 in Kraft getreten. Als Kritische 
Infrastrukturen werden demzufolge „Infrastrukturen, bei 
deren Ausfall die Versorgung der Bevölkerung erheblich 
beeinträchtigt wird“ bezeichnet. 

Das Bundesministerium des Innern definiert Kritische In- 
frastrukturen als „Organisationen und Einrichtungen mit 
wichtiger Bedeutung für das staatliche Gemeinwesen, bei 
deren Ausfall oder Beeinträchtigung nachhaltig wirkende 
Versorgungsengpässe, erhebliche Störungen der öffentli- 
chen Sicherheit oder andere dramatische Folgen einfreten 
würden.“'®“ Es ist dabei unerheblich, ob sich die Kriti- 
schen Infrastrukturen in privatwirtschaftlicher'®' oder 
staatlicher Hand befinden. 

Ob eine Infrastruktur als „kritisch“ einzustufen ist, hängt 
vor allem von ihrer Bedeutung für die Gesellschaft sowie 
den Folgen, die mit ihrer Störung oder ihrem Ausfall ver- 
bunden sind, ab. Ein dafür relevantes Kriterium ist die 
Kritikalität. Diese wird definiert als „relatives Maß für 
die Bedeufsamkeit einer Infrastruktur in Bezug auf die 
Konsequenzen, die eine Störung oder ein Funktionsaus- 
fall für die Versorgungssicherheit der Gesellschaft mit 
wichtigen Gütern und Dienstleistungen hat“.'®^ Kritikali- 
tät kann systemischer und/oder symbolischer Art sein: 
Sofern eine Infrastruktur „aufgrund ihrer strukturellen, 
funktionellen und technischen Positionierung im Gesamt- 
system der Infrastrukturbereiche von besonders hoher in- 
terdependenter Relevanz ist“ - zum Beispiel im Bereich 
der Elektrizitäts- sowie Informations- und Telekommuni- 
kationsinfrastrukturen - liegt systemische Kritikalität 
vor.'®3 Eine symbolische Kritikalität besitzt hingegen eine 
Infrastruktur, deren Zerstörung „aufgrund ihrer kulturel- 
len oder identitätsstiftenden Bedeutung [...] eine Gesell- 
schaft emotional erschüttern und psychologisch nachhal- 
tig aus dem Gleichgewicht bringen kann“.'®'* 

Eine Aufteilung der Kritischen Infrastrukturen in Sekto- 
ren erfolgte erstmals 1997 durch die Presidential Com- 
mission on Critical Infrastructure Protection (PCCIP) in 
den USA.'®® Auf dieser Grundlage entwickelten sich ab- 
hängig von soziopolitischen Faktoren sowie geografi- 


Greve, Holger: Kritische Infrastrukturen. In: Datenschutz und Daten- 
sicherheit (DuD), 33. Jg 2009, Heft 12, S. 757. 

Bundesministerium des Innern: Nationale Strategie zum Schutz Kri- 
tischer Infrastrukturen (KRITIS-Strategie). Juni 2009, S. 3. Online 
abrufbar unter: http://www.bmi.bund.de/SharedDocs/Downloads/ 

DE/Broschueren/2009/kritis.pdf? blob=publicationFile 

Es wird davon ausgegangen, dass circa 80 Prozent der Kritischen In- 
frastrukturen privatwirtschaftlich betrieben werden. Siehe dazu: 
John-Koch, Monika: Strategische Meilensteine. Kritische Infrastruk- 
turen im Blick. In: Bevölkerungsschutz, hrsg. im Auftrag des Bun- 
desministerium des Innern vom Bundesamt für Bevölkerungsschutz 
und Katastrophenhilfe (BBK). 3. Quartal 2010, S. 2. Online abrufbar 
unter: http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Pu 
blikationen/Publ_magazin/bsmag_3_10.pdf? blob=publicationFile 

*62 Ebd., S. 5. 

163 Ebd. 

164 Ebd. 

165 Ygi Brunner, Eigin M./Suter, Manuel: International CUP Handbook 
2008/2009. An Inventory of 25 National and 7 International Critical 
Information Infrastructure Protection Policies, hrsg. von Wenger, 
Andreas/Mauer, Victor/Cavelty, Myriam Dünn. 2008, S. 36. 
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Tabelle 1 


Sektoren- und Brancheneinteilung Kritischer Infrastrukturen!® 


Sektoren 

Branchen 

Energie 

- Elektrizität 

- Gas 

- Mineralöl 

Informationstechnik und Telekommuni- 

- Telekommunikation 

kation 

- Informationstechnik 

Transport und Verkehr 

- Luftfahrt 

- Seeschifffahrt 

- Binnenschifffahrt 

- Schienenverkehr 

- Straßenverkehr 

- Logistik 

Gesundheit 

- Medizinische Versorgung 

- Arzneimittel und Impfstoffe 

- Labore 

Wasser 

- Öffentliche Wasserversomng 

- Öffentliche Abwasserbeseitigung 

Emähmng 

- Emähmngswirtschaft 

- Lebensmittelhandel 

Finanz- und Versichemngswesen 

- Banken 

- Börsen 

- Versichemngen 

- Finanzdienstleister 

Staat und Verwaltung 

- Regiemng und Verwaltung 

- Parlament 

- Justizeinrichtungen 

- NotfalL/Rettungswesen einschließlich Katastrophenschutz 

Medien und Kultur 

- Rundfunk (Fernsehen und Radio), gedmekte und elektronische Presse 

- Kulturgut 

- symbolträchtige Bauwerke 


sehen und historischen Voraussetzungen länderspezifisch 
unterschiedliche Auffassungen davon, ob ein Sektor als 
„kritisch“ einzustufen ist.'^^ 

Die seit 2003 in Deutschland auf Bundesebene beste- 
hende Sektoren- und Brancheneinteilung der Kritischen 
Infrastrukturen wurde im Jahr 2011 von einer Bund-Län- 
der-Arbeitsgruppe überarbeitet. Bund und Länder haben 
sich erstmals auf eine gemeinsame Sektoreneinteilung 
festgelegt; die Bundesressorts verständigten sich auf eine 
einheitliche Untergliederung in Branchen. Die Kritischen 
Infrastrukturen werden in Deutschland demnach in neun 
Sektoren und 29 Branchen unterteilt (siehe Tabelle 1).'® 
Das Bundesamt für Bevölkerungsschutz und Katastro- 


1“ Vgl. ebd., S. 36, S. 529. 

167 Ygi Bundesamt für Bevölkemngsschutz und Katastrophenhilfe/Bun- 
desamt für Sicherheit in der Informationstechnik: Sektoren und Bran- 
chen Kritischer Infrastrukturen. 2011. Online abrufbar unter: http:// 
www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/Sektoren/sekto 
ren_node.html; http://www.kritis.bund.de/SharedDocs/Downloads/BBK 


phenhilfe (BBK) führt im Zeitraum 2009 bis 2012 das 
Projekt KritisKAT durch, welches „ein allgemein an- 
wendbares Kriterien-Set zur Identifizierung und Bewer- 
tung von kritischen Infrastrukturen“ zum Ziel hat, wo- 
durch Entscheidungsträgem „eine Priorisiemng von 
Aktivitäten und Maßnahmen im Risikomanagement er- 
möglicht werden“ soll.'^* 


/DE/Downloads/Kritis/neue_Sektoreneinteilung.pdf;jsessionid=lA4 
82073 lDlF6D38744B26D9544126FA.l_cid355?_blob=publica- 
tionFile 

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe: Projekt 
KritisKAT. Online abrufbar unter: http://www.bbk.bund.de/DE/Auf 
gabenundAusstattung/Kritischelnfrastrukturen/Projekte/KritisKat/kri 
tiskat_node.html 

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe/Bundes- 
amt für Sicherheit in der Informationstechnik: Sektoren und Bran- 
chen Kritischer Infrastrukturen. 2011. Online abrufbar unter: http:// 
www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/Sektoren/sektoren 
_node.html; http://www.kritis.bund.de/SharedDocs/Downloads/BBK/ 
DE/Downloads/Kritis/neue_Sektoreneinteilung.pdfJsessionid=lA482 
0731DlF6D38744B26D9544126FA.l_cid355?_blob=publicationFile 
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Vergleich Kritischer Infrastrukturen 
Deutschland - USA 

Basierend auf der amerikanischen Definition Kritischer 
Infrastrukturen als „Systems and assets, whether physical 
or virtual, so vital to the United States that the incapacity or 
destruction of such Systems and assets would have a debi- 
litating impact on security, national economic security, na- 
tional public health or safety, or any combination of those 
matters“'^**, zählen die USA insgesamt 18 Sektoren zu den 
Kritischen Infrastrukturen. Diese stimmen größtenteils mit 
den in Deutschland identifizierten Sektoren überein. Es 
werden aber auch die Rüstungsindustrie sowie Teile des 
produzierenden Gewerbes, beispielsweise die Kraftfahr- 
zeugindustrie und die Metall verarbeitende Industrie, ge- 
nannt. Zusätzlich zu den inländischen Kritischen Infra- 
strukturen betrachten die USA auch solche, die sich 
außerhalb ihrer Landesgrenzen befinden, da deren Ausfall 
trotz der geografischen Entfernung Auswirkungen auf die 
amerikanische Sicherheit oder Wirtschaft haben könnte. 
So werden in einem von Wikileaks veröffentlichten inter- 
nen Dokument diverse internationale Einrichtungen und 
Infrastrukturen aufgelistet, beispielsweise internationale 
Seekabel für die Internet- und Telekommunikation, Häfen, 
Staudämme, besondere Produktionsstätten, Hersteller von 
Chemie- und Pharmaprodukten, aber auch Ressourcen wie 
seltene Erden. 

1.1.1 .2 Beispiele für die wachsende 
IT-Durchdringung der 
Kritischen Infrastrukturen 

Kritische Infrastrukturen sind zunehmend von IT-Infra- 
strukturen abhängig. 

Vor allem zur Überwachung, Steuerung und Automatisie- 
rung von Prozessen im industriellen Bereich werden in- 
dustrielle Kontrollsysteme (Industrial Control Systems, 
ICS) - insbesondere Supervisory Control And Data 
Acquisition(SCADA)-Systeme - eingesetzt. Diese „ent- 
halten heute immer mehr Bestandteile, die auf ,Standard- 
informationstechnik‘ basieren“ und werden „immer häu- 
figer mit gängiger Netzwerktechnik und unter Verwendung 
standardisierter Kommunikationsprotokolle wie Ethernet 
und TCP/IP“ vernetzt. Damit solche IT-Systeme zum 


Uniting and Strengthening America by Providing Appropriate Tools 
Required to Intercept and Obstruct Terrorism (USA PATRIOT ACT) 
Act of 2001, Public Law 107-56, Section 1016(e). 26. Oktober 2001. 
Vgl. die Einteilung auf der Website des U.S. Department of Home- 
land Security: Critical Infrastructure Sectors. Online abrufbar unter: 
http://www.dhs.gov/critical-infrastructure-sectors 
172 Ygi beispielsweise Lister, Tim: WikiLeaks lists sites key to U.S. se- 
curity. 7. Dezember 2010. Online abrufbar unter: http://edition. 
cnn.eom/2010/US/12/06/wikileaks/index. html und Zetter, Kim: Wi- 
kileaks releases secret list of critical infrastructure sites. 6. Dezember 
2010. Online abrufbar unter: http://www.wired.com/threatlevel/2010/ 
12/critical-infrastructures-cable/ sowie Schulzki-Haddouti, Christiane: 
Eierlauf - Kritische Infrastrukturen neu betrachtet. In: c’t - Magazin 
für Computertechnik, 2011, Heft 4, S. 68 ff. 

Bundesamt für Sicherheit in der Informationstechnik: Informations- 
technik in der Prozessüberwachung und -Steuerung. Grunsätzliche 
Anmerkungen. 2008, S. 3. Online abmibar unter: https://www.bsi. 
bund.de/SharedDocs/Downloads/DE/BSI/Kritis/IT_in_der_Prozess 
steuerung_pdf.pdf? blob=publicationFile 


Beispiel aus der Feme gewartet werden können, werden 
sie mit dem Internet vernetzt. 

Beispielsweise erfolgt in der Energieversorgung die Steu- 
erung und Regelung von Energieanlagen über IT-Sys- 
teme. Die Wasserversorgung und entsorgung läuft eom- 
putergestützt ab. In der Nahrungsmittelindustrie setzen 
Lebensmittelhersteller IT-Lösungen zur Steuerung ihrer 
Produktionsprozesse ein. 

Aber aueh im Dienstleistungssektor spielt der IT-Einsatz 
eine wesentliehe Rolle. Im Finanzwesen werden IT-Infra- 
strukturen zur Abwieklung des bargeldlosen Zahlungs- 
verkehrs benötigt. Im Transport- und Verkehrswesen wer- 
den IT-Systeme zur Automatisierang des Straßen- und 
Sehienenverkehrs genutzt. In Krankenhäusern finden IT- 
Lösungen beim Patientenmanagement mit der elektroni- 
sehen Patientenakte Anwendung. 

Dies sind nur einige von vielen Einsatzgebieten, die die 
Bedeutung der IT-Infrastrukturen für die Kritisehen Infra- 
strukturen aufzeigen. Es wird deutlieh, dass der Ausfall 
der IT-Infrastrukturen aufgrund der bestehenden Interde- 
pendenzen, das heißt der Abhängigkeiten zwisehen Sek- 
toren, einen Dominoeffekt auslösen kann: Störungen der 
IT-Systeme können zu Problemen in einem anderen Be- 
reieh führen. Dabei können die daraus resultierenden 
Folgen weitaus größer sein als der ursprüngliehe Ausfall 
(so genannter Kaskadeneffekt). 

Die weltweit voransehreitende Einführang des Intemet- 
protokolls in der Version 6 (IPv6)'^^ sowie Entwieklun- 
gen wie das Internet der Dinge oder intelligente Strom- 
netze (engliseh: Smart Grid) zeigen, dass die Vernetzung 
weiter zunehmen wird. Mit dieser waehsenden IT-Ab- 
hängigkeit geht die „steigende Notwendigkeit, Kritisehe 
Infrastrukturen vor Cyberangriffen zu sehützen“, ein- 
her. '77 


1.2 Bedrohungen Kritischer Infrastrukturen/ 
Informationsinfrastrukturen 

Kritisehe Infrastrukturen/Informationsinfrastrakturen sind 
vielfältigen Bedrohungen ausgesetzt, wobei eine Bedro- 
hung allgemein definiert wird als „ein Umstand oder Er- 
eignis, dureh den oder das ein Sehaden entstehen kann. 
Der Sehaden bezieht sieh dabei auf einen konkreten Wert 
wie Vermögen, Wissen, Gegenstände oder Gesundheit. 
Übertragen in die Welt der Informationsteehnik ist eine 
Bedrohung ein Umstand oder Ereignis, der oder das die 
Verfügbarkeit, Integrität oder Vertrauliehkeit von Infor- 


174 Ygi Bundesamt für Bevölkerungsschutz und Katastrophenhilfe/Bun- 
desamt für Sicherheit in der Informationstechnik: Sektoren und Bran- 
chen Kritischer Infrastrukturen. 2011. Online abrufbar unter: http:// 
www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/Gefahren/Ge 
fahren_node.html 

*75 Ygl. ebd. 

*76 Siehe zum Thema Sicherheitsaspekte bei der Einführung des neuen 
Intemetprotokolls Version 6 den Exkurs in Kapitel 1/2. 2. 2. 

*77 Helmbrecht, Udo: Die aktuelle Bedrohungslage durch Ausfall von 
IT-Infrastruktur. 2010, S. 42. 
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mationen beeinträchtigen kann, wodurch dem Besitzer 
bzw. Benutzer der Informationen ein Schaden entstehen 
kann. Beispiele für Bedrohungen sind höhere Gewalt, 
menschliche Fehlhandlungen, technisches Versagen oder 
vorsätzliche Handlungen. 

Vor dem Hintergrund der Themenstellung der Enquete- 
Kommission Internet und digitale Gesellschaft konzen- 
trieren sich die folgenden Ausführungen auf den Bereich 
der vorsätzlichen Handlungen, speziell der so genannten 
IT- Angriffe.'™ 

Ein IT- Angriff richtet sich gegen einen oder mehrere an- 
dere IT-Systeme und zielt darauf ab, die IT-Sicherheit 
ganz oder teilweise hinsichtlich Vertraulichkeit, Integrität 
und Verfügbarkeit zu überwinden.'*" 

Im Rahmen der Cyber-Sicherheitsstrategie fiir Deutsch- 
land^^^ wird der Cyber-Raum definiert als „der virtuelle 
Raum aller auf Datenebene vernetzten IT-Systeme im 
globalen Maßstab. Dem Cyber-Raum liegt als universel- 
les und öffentlich zugängliches Verbindungs- und Trans- 
portnetz das Internet zugrunde, welches durch beliebige 
andere Datennetze ergänzt und erweitert werden kann . “'*2 
Dieser kann dabei „als primärer Angriffsweg benutzt 
[werden] oder selbst das Ziel eines Angriffs [sein].“'** In- 
formationsinfrastrukturen kommt somit eine Besonder- 
heit zuteil: sie sind einerseits Begehungsmittel, anderer- 
seits Angriffsobjekt. 

IT- Angriffe können sowohl gezielt, dass heißt auf ein zu- 
vor bestimmtes Objekt, als auch ungezielt erfolgen. Bei 
gezielten Angriffen besteht die Gefahr von Irrläufern. 
Welche Angriffsart ein Täter wählt, hängt vom Motiv'*"' 
des Angriffs ab.'*^ Angriffsziele können Daten bezie- 
hungsweise Informationen, IT-Systeme oder IT-Dienste 


Bundesamt für Sicherheit in der Informationstechnik: Themen. IT- 
Grundschutz-Kataloge. Inhalt. Glossar und Begriffsdefmition. Online 
abrufbar unter: https://www.bsi.bund.de/DE/Themen/weitereThe- 
men/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html 
Sonstige Gefährdungspotenziale wurden bereits an anderer Stelle 
durch den Deutschen Bundestag eingehend betrachtet. Siehe bei- 
spielsweise: Wortprotokoll des öffentlichen Fachgespräches zum 
Thema „Gefährdung und Verletzbarkeit moderner Gesellschaften - 
am Beispiel eines großräumigen und langandauemden Ausfalls der 
Stromversorgung“ vom 25. Mai 2011. Protokoll 17/41 des Ausschus- 
ses für Bildung, Forschung und Technikfolgenabschätzung. 
Online abrufbar unter: http://www.bundestag.de/bundestag/aus 
schuesse 1 7/a 1 8/anhoerungen/Stromausfall/4 1-11 0525 1 .pdf 
180 Ygi Bundesministerium des Innern: Cyber-Sicherheitsstrategie für 
Deutschland. Februar 2011, S. 14. Online abrufbar unter: http://www. 
bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/ 

Informationsgesellschaft/cyber.pdf? blob=publicationFile 

IS* Siehe Kapitel 2/1.3.3.2. 

*S2 Bundesministerium des Innern: Cyber-Sicherheitsstrategie für 
Deutschland. Februar 2011, S. 14. Online abrufbar unter: http://www. 
bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung 

/Informationsgesellschaft/cyber.pdf? blob=publicationFile 

*S3 Bundesamt für Sicherheit in der Informationstechnik:Cyber-Bedro- 
hung - ein Einstieg. Häufig gestellte Fragen und Antworten. Version 
1.00 vom 15. Oktober 2012, S. 1. Online abrufbar unter: https:// 
www.allianz-luer-cybersicherheit.de/ACS/DE/_downloads/sensibili 

sierung/BSI-CS_012.pdf? ^blob=publicationFile 

*S4 Zu den möglichen Motiven siehe Kapitel 2/2. 1.4. 

185 Ygi Bundesamt für Sicherheit in der Informationstechnik: Register 
aktueller Cyber-Gefährdungen und -Angriffsformen. Anhang B - 


sein.'*" Einen Überblick über konkrete Bedrohungen und 
Angriffsmittel, die dem Bereich der IT-Angriffe zuzuord- 
nen sind, liefern die Kapitel 2/2. 1.5, 3.4 sowie 4.4. 

Laut IT-Lagezentrum des BSI zeigt sich die aktuelle Be- 
drohungslage im Oktober 2012 wie folgt: 

- „Etwa alle zwei Sekunden erscheint ein neues Schad- 
programm oder eine neue Variante. 

- Pro Minute werden etwa zwei digitale Identitäten in 
Deutschland gestohlen. 

- Pro Tag werden etwa vier bis fünf gezielte Trojaner- 
E-Mails im Regierungsnetz detektiert. 

- Pro Monat werden etwa 40 000 Zugriffsversuche aus 
dem Regierungsnetz auf schädliche Webseiten blo- 
ckiert.“'*^ 

Studien weisen darauf hin, dass die Bedrohung durch 
IT-Angriffe auf Kritische Infrastrukturen beziehungs- 
weise deren Informationsinfrastrukturen in den nächsten 
Jahren weltweit zunehmen wird: Dies zeigt u. a. die 2010 
gemeinsam vom Center for Strategie and International 
Studies (CSIS) und dem Unternehmen McAfee veröffent- 
lichte Studie In the Crossfire^^^, an der 600 IT-Führungs- 
kräfte von Unternehmen Kritischer Infrastrukturen aus 
14 Staaten teilgenommen haben. Die Folgestudie In the 
Dark^^'^ aus dem Jahr 2011 - herausgegeben nach dem 
Bekanntwerden des Computerwurms Stuxnet - bestätigt 
einen Anstieg an Bedrohungen.'"" Auch die Symantec 
2010 Critical Infrastructure Protection Study^'^^ kommt 
zu diesem Ergebnis. Eine Vielzahl der Befragten vermu- 
tet, dass die IT-Attacken auf ihre Infrastrukturen von an- 


Angriffsinitiierung. Version 1.00 vom 16. Januar 2012, S. 6. Online 
abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE 

/BSI/Cyber-Sicherheit/BSI-A-CS_00 1 .pdf? blob=publicationFile 

*^^ Diese können weiter unterteilt werden. Siehe: Bundesamt für Sicher- 
heit in der Informationstechnik: Register aktueller Cyber-Gefährdun- 
gen und -Angriffsformen. Anhang B - Angriffsinitiierung. Version 1.00 
vom 16. Januar 2012, S. 1 ff. Online abrufbar unter: https:// 
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/ 

BSI-A-CS_001.pdf? ^blob=publicationFile 

*^2 Bundesamt für Sicherheit in der Informationstechnik: Cyber-Bedro- 
hung - ein Einstieg. Häufig gestellte Fragen und Antworten. Ver- 
sion 1.00 vom 15. Oktober 2012, S. 5. Online abrufbar unter: https:// 
www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/sensibili 

sierung/BSI-CS_0 12.pdf? blob=publicationFile 

188 Ygl. Baker, Stewart/Waterman, Shaun/Ivanov, George: In the Cross- 
fire. Critical Infrastructure in the Age of Cyber War, hrsg. von Center 
for Strategie and International Studies(CSIS)/McAfee, Januar 2010. 
Online abrufbar unter: http://www.mcafee.com/us/resources/reports/ 
rp-in-crossfire-critical-inffastructure-cyber-war.pdf 
*^^ Vgl. Baker, Stewart/Filipiak, Natalia/Timlin, Katrina: In the Dark. 
Crucial Industries Confront Cyberattacks, hrsg. von Center for Stra- 
tegie and International Studies(CSIS)/McAfee. März 2011. Online 
abrufbar unter: http://www.mcafee.com/us/resources/reports/rp-criti 
cal-infrastmcture-protection.pdf 

190 Vgl. hierzu auch: Keefe, Mari: Timeline: Critical infrastructure at- 
tacks increase steadily in past decade. Computerworld, 5. November 
2012. Online abrufbar unter: http://www.computerworld.com/s/artic- 
le/9233173/Timeline_Critical_infrastructure_attacks_increase_steadi 
ly_in_past_decade 

*^' Vgl. Symantec: Symantec 2010 Critical Infrastructure Protection 
Study. Global Results. Oktober 2010. Online abrufbar unter: http:// 
www.symantec.eom/content/en/us/about/presskits/Symantec_2010_ 
CIP_Study_Global_Data.pdf 
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deren Staaten ausgingen beziehungsweise politisch moti- 
viert waren. '^2 

Die Studien zeigen, dass sich die Unternehmen der Ge- 
fahr eines IT-Angriffes bewusst sind. Dennoch fühlten 
sich 2010 nur ein Drittel der Betreiber Kritischer Infra- 
strukturen äußerst vorbereitet („extremely prepared“), ein 
weiteres Drittel der Befragten fühlte sich dagegen weni- 
ger als einigermaßen vorbereitet („less then somewhat 
prepared“). Hinsichtlich des Schutzes vor IT-Angriffen 
gibt es folglich noch Raum für die Verbesserung („room 
for readiness improvement“).'94 Dies legt auch die erste 
CSlS/McAfee-Studie nahe.'®^ Die Folgestudie zeigt, dass 
es innerhalb eines Jahres nur mäßige sicherheitsbezogene 
Verbesserungen („only modest improvements in Secu- 
rity“) gegeben hat.'^^ 

Der ENISA-Bericht Protecting Industrial Control Sys- 
tems. Recommendations for Europe and Member States^'^'^ 
von 2011 stellt fest, dass Kritische Infrastrukturen noch 
immer nicht ausreichend auf IT-Angriffe wie durch den 
Computerwurm DuQu vorbereitet seien. Insbesondere 
fehle es in Europa an spezifischen Initiativen und Richtli- 
nien, um die IT-Sicherheit von Industrial-Control- 
Systems (ICS) zu adressieren. Es gebe keine allgemein 
angewandten Sicherheitsstandards, Leitlinien oder Rege- 
lungen für derartige Systeme, die Unternehmensleitung 


192 Ygi Baker, Stewart/Waterman, Shaun/Ivanov, George: In the Cross- 
fire. Critical Infrastructure in the Age of Cyber War, hrsg. von Center 
for Strategie and International Studies(CSIS)/McAfee, Januar 2010, 
S. 4. Online abrufbar unter: http://www.mcafee.com/us/resources/ 
reports/rp-in-crossfire-critical-infrastructure-cyber-war.pdf; Syman- 
tec: Symantec 2010 Critical Infrastructure Protection Study. Global 
Results. Oktober 2010, S. 5. Online abrufbar unter: http://www.sym 
antec.eom/content/en/us/about/presskits/Symantec_2010_CIP_Study 
_Global_Data.pdf; Baker, Stewart/Filipiak, Natalia/Timlin, Katrina: 
In the Dark. Crucial Industries Confront Cyberattacks, hrsg. von 
Center for Strategie and International Studies(CSIS)/McAfee. März 
2011, S. 20. Online abrufbar unter: http://www.mcafee.com/us/re- 
sources/reports/rp-critical-infrastructure-protection.pdf 
Symantec: Symantec 2010 Critical Infrastructure Protection Study. 
Global Results. Oktober 2010, S. 7. Online abmfbar unter: http:// 
www.symantec.com/content/en/us/about/presskits/Symantec_20 10_ 
CIP_Study_Global_Data.pdf 

194 Ebd. 

195 Ygi Baker, Stewart/Waterman, Shaun/Ivanov, George: In the Cross- 
fire. Critical Infrastructure in the Age of Cyber War, hrsg. von Center 
for Strategie and International Studies(CSIS)/McAfee, Januar 2010, 
S. 32 ff. Online abrufbar unter: http://www.mcafee.com/us/resources/ 
reports/rp-in-crossfire-critical-infrastructure-cyber-war.pdf 

196 Baker, Stewart/Filipiak, Natalia/Timlin, Katrina: In the Dark. Crucial 
Industries Confront Cyberattacks, hrsg. von Center for Strategie and 
International Studies(CSIS)/McAfee. März 2011, S. 1. Online abruf- 
bar unter: http://www.mcafee.com/us/resources/reports/rp-critical-in 
frastructure-protection.pdf 

197 European Network and Information Security Agency (ENISA): Pro- 
tecting Industrial Control Systems. Recommendations for Europe 
and Member States. 14. Dezember 2011. Online abrufbar unter: http:// 
www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastruc 
ture-and-services/scada-industrial-control-systems/protecting-indus 
trial-control-systems.-recommendations-for-europe-and-member-sta 
tes/at download/ftillReport. Ein Executive Summary in Deutsch ist 
online abrufbar unter: http://www.enisa.europa.eu/activities/Resilience- 
and-CIIP/critical-infrasttucture-and-services/scada-industrial-conti'ol-sys 
tems/protecting-industrial-control-systems.-recommendations-for- 
europe-and-member-states.-executive-summary-in-german/at_down 
load/file 


sei nicht ausreichend involviert und es gebe zahlreiche 
technische Schwachstellen. 

In einem Interview zum Thema Schutz Kritischer Infra- 
strukturen teilte ein Mitarbeiter des BSI mit, dass „gerade 
die letztjährige Lükex-Übung zum Schutz vor Cyberan- 
griffen [...] gezeigt [hat], dass Deutschland grundsätzlich 
gut aufgestellt ist“. Jedoch sind „einige Branchen inner- 
halb der kritischen Infrastrukturen besser aufgestellt [...] 
als andere. Dort, wo es noch nicht so funktioniert, fehlt es 
an branchenweiten Standards oder an der Zusammenar- 
beit zwischen den Unternehmen, was den Austausch ak- 
tueller Informationen angeht. Innerhalb des Umsetzungs- 
planes KRITIS können verschiedene Branchen durchaus 
noch voneinander lernen. 

Einer repräsentativen Umfrage unter 800 Unternehmen 
unterschiedlicher Branchen und Untemehmensgrößen zu- 
folge hat „fast jedes zweite Unternehmen (45 Prozent) 
[...] nicht einmal einen Notfallplan für IT-Sicherheitsvor- 

fälle.“2oo 

Das BSI hat eine Studie zur IT-Sicherheit in kleinen und 
mittleren Unternehmeri^^^ mit dem Ziel, „den Ist-Zustand 
des IT-Sicherheits- und Krisenmanagements sowie der 
Sicherheit kritischer IT-Infrastrukturen im Bereich der 
kleinen und mittleren Unternehmen zu ermitteln“^**^^ 
durchgefuhrt. Demnach „sind die KMU bei Wertung der 
umgesetzten IT- Sicherheitsmaßnahmen grundsätzlich ge- 
eignet aufgestellt“, durchschnittlich werden „rund zwei 
Drittel der in Anlehnung an den IT-Grundschutz abge- 
ffagten IT- Sicherheitsmaßnahmen in den Unternehmen 
umgesetzt“. 203 Verbesserungsbedarf gibt es „vor allem 


198 Ygi. European Network and Information Security Agency (ENISA): 
DuQu: Briefing Note. 6. Dezember 2011. Online abrufbar unter: https:// 
www.enisa.europa.eu/media/news-items/duqu-analysis. Der englische 
Originaltext lautet: „Critical infrastructures are still not sufficiently 
prepared for attacks like DuQu. In particular, Europe lacks specific 
initiatives and policies to address ICS security. There are no com- 
monly adopted ICS security Standards, guidelines or regulations, cor- 
porate management is not sufficiently involved, and there are nu- 
merous technical vulnerabilities.“ 

*99 Hülsbömer, Simon: Schutz Kritischer Infrastrukturen. „Deutschland 
nimmt eine Vorreiterrolle ein“. Computerwoche, 2012. Online abruf- 
bar unter: http://www.computerwoche.de/2528 104 

200 Bundesverband Informationswirtschaft, Telekommunikation und 
neue Medien e.V. (BITKOM): Jede zweite Firma hat keinen Notfall- 
plan für IT-Sicherheitsvorfälle. Pressemitteilung vom 7. März 2012. 
Online abmfbar unter: http://www.bitkom.org/71434_71432.aspx 

201 Bundesamtes für Sicherheit in der Informationstechnik: Studie zur 
IT-Sicherheit in kleinen und mittleren Unternehmen. Grad der Sensi- 
bilisiemng des Mittelstandes in Deutschland. 2011. Online abmfbar 
unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Pu 

bhkationen/Studien/KMU/Studie_IT-Sicherheit_KMU.pdf? bIob= 

publicationFile 

202 Bundesamtes für Sicherheit in der Informationstechnik: Publikatio- 
nen. Studien. IT-Sicherheit in kleinen und mittleren Unternehmen 
(KMU). BSI-Studie zum Grad der Sensibilisiemng des Mittelstandes 
in Deutschland. Online abmfbar unter: https://www.bsi.bund.de/Con 
tentBSI/Publikationen/Studien/KMU/Studie_IT-Sicherheit_KMU. 
html 

203 Bundesamtes für Sicherheit in der Informationstechnik: Studie zur 
IT-Sicherheit in kleinen und mittleren Unternehmen. Grad der Sensi- 
bilisiemng des Mittelstandes in Deutschland. 2011, S. 98, 8. Online 
abmfbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/ 
DE/BSI/Publikationen}studien/KMU/Studie_IT-Sicherheit_KMU.pdf? 
blob=publicationFile 



Deutscher Bundestag - 17. Wahlperiode 


-35- 


Drucksache 17/12541 


noch im Bereich der geschäftskritischen IT-Sicherheits- 
prozesse, das heißt, dem Umgang mit Sicherheitsvorfäl- 
len, dem Notfallmanagement und der Bewertung der Ge- 
fahrenbereiche“ 

Neben Unternehmen sind aueh Behörden, welehe aueh zu 
den Kritisehen Infrastrukturen zählen, Ziel von IT-An- 
griffen: „Naeh Erkenntnissen des Bundesamtes für Si- 
cherheit in der Informationstechnik werden durehsehnitt- 
lieh fünf gezielte Angriffe täglieh auf Personen als Nutzer 
des Regierungsnetzes detektiert und abgewehrt. Das 
BSI ist laut § 3 des Gesetzes zur Stärkung der Sieherheit 
in der Informationstechnik des Bundes (BSIG) zuständig 
für die „Abwehr von Gefahren für die Sicherheit der In- 
formationstechnik des Bundes“. 

Aueh der Deutsche Bundestag sieht sieh IT-Angriffen 
(insbesondere aus dem Internet) unterschiedlieher Inten- 
sität ausgesetzt. Dank umfangreieher technischer und or- 
ganisatorischer IT-Sieherheitsmaßnahmen (zum Beispiel 
der Umsetzung des IT-Grundsehutzes) sowie engem Kon- 
takt zum Bundesamt für Sicherheit in der Informations- 
technik haben die Auswirkungen eines Angriffes auf den 
Deutschen Bundestag weder zu größeren Ausfällen von 
IT-Systemen, noeh zum ungewollten Abfluss von Daten 
geführt. 

Die Europäisehen Kommission fasst die unterschiedli- 
chen Bedrohungen, denen Informationsinfrastrukturen 
ausgesetzt sind, in drei Kategorien zusammem^o^ 

Kriminelle Ausnutzung 

Die kriminelle Ausnutzung des Internets erfolgt u. a. 
dureh gezielte, komplexe und anhaltende IT-Angriffe 
dureh hoeh qualifizierte Täter zur Begehung wirtsehaflli- 
eher- oder politischer Spionage. Diese so genannten Ad- 
vanced Persistent Threats (APT) können zum Beispiel 
dureh eine gezielt an eine Person gerichtete E-Mail (so 
genanntes Spear Phishing, siehe aueh Kapitel 2/2. 1.7.2) 
oder durch Sicherheitslücken in Software (siehe aueh Ka- 
pitel 2/2. 1.7.1) ausgelöst werden. Ziel ist, einen Reehner 
mit einer Schadsoftware zu infizieren, um Zugang zu ei- 
nem Netzwerk zu erlangen. Bei einer Infiltration dureh 
ein APT kann ein Angreifer über einen langen Zeitraum 
unbemerkt Informationen ausspionieren. Es kann davon 


Ebd., S. 99. 

Bundestagsdrucksache 17/5677: Antwort der Bundesregierung auf 
die Kleine Anfrage - Drucksache 17/5369 - Grenzüberschreitendes 
behördliches Ausspähen fremder Rechnersysteme („Governmental 
Hacking“). 29. April 2011, S. 4. Online abrufbar unter: http://dipbt. 
bundestag.de/dip21/btd/17/056/1705677.pdf. Siehe auch: Bundes- 
amtes für Sicherheit in der Informationstechnik: BSI-Lagebericht - 
Die Lage der IT-Sicherheit in Deutschland 2011. Mai 2011, S. 26. 
Online abrufbar unter: https://www.bsi.bund.de/SharedDocs/Down 
loads/DE/BSI/Publikationen/Lageberichte/Lagebericht20 1 Inbf pdf? 
blob=publicationFile 

206 Ygi Mitteilung der Kommission an das Europäische Parlament, den 
Rat, den Europäischen Wirtschafts- und Sozialausschuss und den 
Ausschuss der Regionen über den Schutz kritischer Informationsin- 
frastrukturen „Ergebnisse und nächste Schritte: der Weg zur globalen 
Netzsicherheit“. KOM(201 1)163 endgültig vom 31. März 2011. On- 
line abrufbar unter: http://eur-lex.europa.eu/LexUriServ/LexUri 
Serv.do?uri=COM:201 1:0163 :FIN:DE:PDF 


ausgegangen werden, dass nur wenige solcher Angriffe 
bekannt werden, um Wirtschaft und Staat zu schützen. 

Beispiele: 

a) Das staatliche IT-System des französischen Finanz- 
ministeriums ist von Dezember 2010 bis März 2011 
Opfer eines APTs gewesen. Die Angreifer infizierten 
bei der Attacke circa 150 Computer des Ministeriums 
mit Trojanern (siehe Kapitel 2/2. 1.6. 1.3), die es er- 
lauben, auf fremde Rechner zuzugreifen beziehungs- 
weise diese auszuspionieren. Bei dem Angriff wur- 
den zahlreiche Daten ausgespäht, Informationen über 
einzelne Personen waren aber nicht betroffen. Die 
Angreifer hatten es auf Dokumente abgesehen, die 
im Zusammenhang mit der G20 stehen, der Frank- 
reich zu dem Zeitpunkt vorsaß. 

b) Die EU-Kommission musste Anfang 2011 nach An- 
griffen auf mehreren nationale Emissionshandelsstel- 
len den Handel mit Emissionsrechten unterbre- 
chen. Bei diesen Vorfällen war es den Angreifern 
u. a. gelungen, europäische Emissionsrechte im 
Wert von etwa 6,7 Mio. Euro aus dem Handelsre- 
gister in Tschechien auszuspähen. Schon Anfang 
2010 haben Angreifer Verschmutzungsrechte ent- 
wendet, davon allein in Deutschland in Höhe von 
3 Mio. Euro.2>o 

Die Kapitel 2/2 sowie 2/3 befassen sich ausführlich mit 
den Themen Kriminalität im Internet und Spionage. 

Störung/Sabotage 

Seit mehreren Jahren ist ein Trend festzustellen, dass mit 
Schadsoftware infizierte Computer zu einem so genann- 
ten Botnetz zusammengeschlossen werden (siehe auch 
Kapitel 2/2. 1.5.1). 2’* Rechner, die Teil eines Botnetzes 
sind, können unbemerkt von den Betreibern des Botnet- 
zes ferngesteuert werden. So können sie von kriminell 
agierenden Gruppen beispielsweise zum Versenden von 


207 Ygi Q Y: Frankreich: Hacker attackierten Finanzministerium. Spie- 
gel Online, 7. März 2011. Online abrufbar unter: http://www.spiegel. 
de/netzwelt/web/frankreich-hacker-attackierten-finanzministerium-a- 
749421.html 

208 Ygl. Europäische Kommission: Emissions Trading: Q & A following 
the Suspension of transactions in national ETS registries for at least 
one week from 19:00 CET on Wednesday 19 January 2011. Presse- 
mitteilung MEMO/11/34 vom 21. Januar 2011. Online abrufbar un- 
ter: http://europa.eu/rapid/press-release_MEMO- 1 1 -34_en.htm?loca- 
le=EN 

209 Ygl. 0 . V.: Sicherheitslücke. EU-Emissionshandel nach Hacker-An- 
griff gestoppt. EurActive.de - Das Portal für europäische Nachrich- 
ten, Hintergründe und Kommunikation. 20. Januar 2011. Online ab- 
rufbar unter: http://www.euractiv.de/222/artikel/eu-emissionshandel- 
nach-hacker-angriff-gestoppt-004245 

Ygl. o. V.: Drei Millionen Euro Schaden allein in Deutschland Da- 
tendiebstahl bei Emissionshändlem. EurActive.de - Das Portal für 
europäische Nachrichten, Hintergründe und Kommunikation. 3. Fe- 
bmar 2010. Online abrufbar unter: http://www.euractiv.de/energie- 
und-klimaschutz/artikel/datendiebstahl-bei-emissionshandlem-002683 

2** Vgl. Bundesamtes für Sicherheit in der Informationstechnik: BSI-La- 
gebericht - Die Lage der IT-Sicherheit in Deutschland 2011. Mai 
2011, S. 7. Online abrufbar unter: https://www.bsi.bund.de/Shared 
Docs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht 
2011_nbfpdf? blob=publicationFile 
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Spam oder zum Ausfuhren eines Distributed Denial of 
Service-Angriffes (DDoS-Angriffs) missbraucht werden. 
Ein Denial of Service-Angriff (DoS-Angriff) führt zur 
Überlastung einer IT-lnfrastruktur durch einen Angriff 
auf einen Server. Geht ein solcher Angriff koordiniert von 
mehreren Systemen aus, spricht man von einem Distribu- 
ted Denial of Service-Angriffe (DDoS-Angriff). 

Botnetze stellen eine zentrale Bedrohung dar, wie die fol- 
genden Beispiele zeigen: 

a) Im Frühjahr 2009 verursachte die Schadsoftware 
Conficker erhebliche Beeinträchtigungen bei Ban- 
ken, Krankenhäusern und Streitkräflen verschiedener 
Länder.2'2 Conficker baut ein Botnetz auf Die infi- 
zierten Rechner sollen durch einen oder mehrere Com- 
mand-and-Control- Server zu koordiniertem Handeln 
gebracht werden, um so gespeicherte Daten und ins- 
besondere Passwörter auszuspähen und über das In- 
ternet zu transferieren. Anfang des Jahres 2009 
legte Conficker beispielsweise circa 3 000 Computer 
des Amtes der Kärntner Landesregierung in Öster- 
reich lahm.214 Heute gibt es immer noch Millionen 
Computer, die mit Conficker infiziert sind. Laut einer 
Studie von Microsoft isf Conficker noch immer eine 
der größten Bedrohungen für Untemehmensnefz- 
werke.^*^ 

b) Im Juli 2010 wurde der Computerwurm^i^ Stuxnef 
entdeckt. Stuxnet ist ein qualitativer Wendepunkt in 
der IT-Sicherheitsgeschichte. Laut BSl muss seitdem 
das Risiko für Kritische Infrastrukturen und ihre 
Prozesssteuerungssysteme neu bewertet werden. 
Stuxnet wurde für gezielte Angriffe auf SCADA-Sys- 
teme^'* mit dem Ziel der Sabotage von Industrieanla- 
gen entwickelt. 219 Angriffe wie der durch Stuxnet 
zeigen eine veränderte Angriffsqualität, da die Ent- 
wicklung von Stuxnet nur mit erheblichem Know- 


212 Ygi Wikipedia - Die freie Enzyklopädie: Conficker. Auswirkungen. 
Online abrufbar unter: http://de.wikipedia.org/wiki/Conficker 
So erläuterte Prof Dr. Peter Martini der Rheinischen Friedrich- 
Wilhelms-Universität Bonn am 15. November 2011 auf der Veran- 
staltung Forum Cyber Defence vom 15. bis 16. November 2011 in 
Bonn. 

214 Ygi Ziegler, Peter-Michael: Conficker schlägt bei Kärntner Regie- 
rung zu. heise online, 8. Januar 2009. Online abrufbar unter: http:// 
www.heise.de/security/meldung/Conficker-schlaegt-bei-Kaerntner- 
Regierung-zu- 1 95496.html 

Vgl. Microsoft: Microsoft Security Intelligence Report: Cleverster 
Wurm weiterhin größte Bedrohung für Unternehmen. Pressemittei- 
lung vom 25. April 2012. Online abrufbar unter: http://www.mi 
crosoft.com/germany/newsroom/pressemi tteilung.mspx?id=533537 
Siehe zu Computerwürmem auch Kapitel 2/2. 1.6. 1.2 
Vgl. Bundesamtes für Sicherheit in der Informationstechnik: BSI-La- 
gebericht - Die Lage der IT-Sicherheit in Deutschland 2011. Mai 
2011, S. 29. Online abrufbar unter: https://www.bsi.bund.de/Shared- 
Docs/Downloads/DE/BSI/Publikationen/Lageberichte/ 
Lagebericht2011_nbf.pdf? blob=publicationFile Siehe auch Kapi- 

tel 2/4.4. 1. 

218 Siehe hierzu auch Kapitel 2/1. 1.1.2. 

21^ Vgl. John-Koch, Monika: Ein Thema auch des Bevölkerungsschut- 
zes. Cyber-Sicherheit als gesamtgesellschaftliches Problem. In: Be- 
völkerungsschutz, hrsg. im Auftrag des Bundesministerium des In- 
nern vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe 
(BBK). 4. Quartal 2011, S. 4. Online abrufbar unter: http://www. 
bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/Publ_ 
magazin/bsmag_4_l 1 .pdf? blob=publicationFile 


how und finanziellem Aufwand möglich gewesen 
sein soll. 220 Laut Studien werden eine Vielzahl der 
bekannt gewordenen Angriffe durch eigene Mitarbei- 
ter von Unternehmen und Behörden durchgelührt .221 
Stuxnet zeigt die Bedeutung des Faktors Mensch be- 
ziehungsweise die Gefahr von Innentätem deutlich 
auf, da die Schadsoftware mittels USB-Stick einge- 
schleust wurde. 

c) Im Oktober 2011 wurde der Computerwurm DuQu 
entdeckt, der als Nachfolger von Stuxnet gilt und ei- 
nen Teil dessen Quellcodes enthält. DuQu ist ein Tro- 
janer, der gezielt eingesetzt wird, um Daten von Un- 
ternehmen, die an der Entwicklung von Software für 
Industrieanlagen beteiligt sind, zu erhalten .222 

Durch das immer weiter ansteigende Technologieniveau 
wird sich die Steuerung der Botnetze in der Zukunft ver- 
stärkt über Peer-to-Peer-Netzwerke, wie beispielsweise 
im Falle des Miner-Botnetzes, abspielen und nicht mehr 
durch wenige zentrale Command-and-Control-Server. 
Werden diese vom Netz genommen, kann das Botnetz 
nicht mehr gesteuert werden. Durch die dezentralisierte 
Struktur wird die Auflösung eines Botznetzes jedoch er- 
schwert.223 

Das Kapitel 2/4 befasst sich ausführlich mit dem Thema 
Sabotage. 

Zerstörung 

Eine Zerstörung stellt eine realistische Gefahr dar, wenn- 
gleich sie bisher selten verwirklicht wurde. Der Stuxnet- 
Computerwurm hat die Zerstörung von Uran-Zentrifugen 
verursacht.224 Auch im Labor wurde die Zersförung von 
Kritischer Infrastruktur unter realistischen Bedingungen 
bereits verwirklicht . 225 Durch die immer stärkere Durch- 
dringung Kritischer Infrastrukturen mit IT ist die Gefahr 


220 Vgl. beispielsweise Symantec: Der Stuxnet- Wurm. Online abrufbar 
unter: http://www.symantec.com/de/de/theme.jsp?themeid=stuxnet 

221 Vgl. Gordon, L. A./Loeb, M. P./Lucyshyn, W./Richardson, R.: CSI/ 
FBI: Computer Crime and Security Survey. Technical report, CSI, 
Computer Security Institute, 2006. Zitiert nach: Eckert, Claudia: 
IT-Sicherheit: Konzepte - Verfahren - Protokolle. 7., überarbeitete 
und erweiterte Auflage 2012, S. 21. 

222 Ygi. Symantec: W32.Duqu. The precursor to the next Stuxnet. Versi- 
on 1.4. 23. November 2011. Online abrufbar unter: http://www.sym 
antec.com/content/en/us/enterprise/media/security_response/whitepa 
pers/w32_duqu_the_precursor_to_the_next_stuxnet_research.pdf so- 
wie 0 . V: Trojanisches Pferd. Virus Duqu alarmiert IT-Sicherheitsex- 
perten. Zeit Online, 19. Oktober 2011. Online abrulbar unter: http:// 
www.zeit.de/digital/intemet/20 1 1 - 10/computerwurm-duqu-stuxnet 

223 Ygi. Bär, Thomas/Schiede, Frank-Michael: Im Kampf gegen Botnet- 
ze. Computerwoche, 9. November 2011. Online abmfbar unter: http:/ 
/www.computerwoche.de/a/im-kampf-gege-botnetze,2368581,5 

224 Ygi. Albright, David/Brannan, Paul/Walrond, Christina: Did Stuxnet 
Take Out 1,000 Centrifuges at the Natanz Enrichement Plant? Insti- 
tute for Science and International Security. 22. Dezember 2010. On- 
line abmfbar unter: http://isis-online.org/uploads/isis-reports/docu 
ments/stuxnet_FEP_22Dec2010. pdf sowie Stöcker, Christian: Angriff 
auf Irans Atomprogramm: Stuxnet- Vims könnte tausend Uran-Zen- 
trifugen zerstört haben. Spiegel Online, 26. Dezember 2010. Online 
abmfbar unter: http://www.spiegel.de/netzwelt/netzpolitik/angriff-auf- 
irans-atomprogramm-stuxnet-vims-koennte-tausend-uran-zentrifugen- 
zerstoert-haben-a-736604.html 

225 Das U.S. Department of Homeland Security hat im Rahmen eines 
Versuchs unter dem Codenamen „Aurora“ im Idaho National Labora- 
tory einen Stromgenerator dazu gebracht, sich selbst zu zerstören, in 
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einer Zerstörung möglich, insbesondere für Systeme wie 
intelligente Netze (Smart Grids). 

Aufgrund der steigenden Komplexität von IT-Systemen 
werden diese auch immer anfälliger für die oben genann- 
ten Bedrohungen. Der amerikanische Sicherheitsexperte 
Bruce Schnei er erklärte bereits 2003, dass komplexe Sys- 
teme u. a. mehr Codezeilen hätten und dadurch auch 
mehr Sicherheitslücken enthielten. Zudem seien kom- 
plexe Systeme mühsamer zu testen und enthielten daher 
eher ungetestete Programmteile, ln Bezug auf Sicherheit 
sei es komplizierter solche Systeme zu modellieren, zu 
implementieren, zu konfigurieren und zu nutzen. Darüber 
hinaus seien sie für Anwender schwerer zu verstehen. 
Komplexität führe zu schwächerer Sicherheit. Er fasst 
dies so zusammen, dass mit der steigenden Komplexität 
von Computern und Netzwerken automatisch eine sin- 
kende Sicherheit einhergehe. In einem Interview aus 
dem Jahr 2012 betonte Schnei er erneut, dass Komplexität 
der größte Feind der Sicherheit sei („Complexity is the 
worst enemy of security“).227 

1.3 Vorhandene Regelungen und 

Maßnahmen zum Schutz Kritischer 
Infrastrukturen beziehungsweise 
Informationsinfrastrukturen 

Aufgezeigt werden im Folgenden die Aktivitäten zum 
Schutz Kritischer Infrastrukturen und Kritischer Informa- 
tionsinfrastrukturen auf internationaler, europäischer und 
nationaler Ebene, wobei es sich nur um eine exemplari- 
sche Übersicht ohne den Anspruch auf Vollständigkeit 
handeln kann. 

1 .3.1 Aktivitäten auf internationaler Ebene 

ln der heutigen immer stärker vernetzten Welt muss jeder 
Staat den Schutz seiner Infrastrukturen beständig überprü- 
fen und verbessern. Die Vernetzung ist dabei nicht national 
begrenzt, sondern länderübergreifend. Auch Katastrophen 
sind oft länderübergreifend, sodass internationale Koope- 


dem über die Maschinensteuerung ein Notabschaltungsmodul mani- 
puliert wurde. 

^26 Siehe hierzu die Ausführungen von Bruce Schneier in: Hearing of the 
Subcommittee on Cybersecurity, Science, and Research, and Deve- 
lopment before the Select Committee on Homeland Security. House 
of Representatives. One Hundred Eighth Congress. First Session. 
OverView of the Cyber Problem: A Nation dependent and dealing 
with risk. 22. Juni 2003, S. 11. Online abrufbar unter: http://www.gpo. 
gov/fdsys/search/pagedetails.action?st=Crypto&granuleId=CHRG- 
1 08hhrg983 1 2&packageId=CHRG- 1 08hhrg983 1 2&bread=true 
Die englische Originalfassung lautet: „Complex Systems have more 
lines of code and therefore more security bugs. Complex Systems ha- 
ve more interactions and therefore more potential for insecurities. 
Compley Systems are harder to test and therefore more likely to have 
untestetd portions. Complex Systems are harder to design securely, 
implement seucrely, configure securely, and use securely. Compley 
Systems are harder for users to understand. Everything about comple- 
xity leads towards lower security. As our Computers and networks 
become more complex, they inherently become less secure.“ 

^27 Chan, Chee-Sing: Complexity the worst enemy of security. Compu- 
terworld, 17. Dezember 2012. Online abrufbar unter: www.compu- 
terworld.com/s/article/92348 1 5/Complexity_the_worst_enemy_of_ 
security 


rationell beim Schutz Kritischer Infrastrukturen und Kriti- 
scher Informationsinfrastrukturen erforderlich sind. 

Man kann die bisherigen nationalen Ansätze der Staaten 
in zwei Kategorien einteilen: 

1. Critical Information Infrastructure Protection (CUP): 
Dieser Ansatz bezieht sich ausschließlich auf die Si- 
cherheit und die Sicherung von IT-Verbindungen und 
IT-Lösungen innerhalb und zwischen den einzelnen 
Infrastruktursektoren, wobei der Schutz der physi- 
schen Komponenten separat sichergestellt wird. Die- 
ser Ansatz lässt sich mit dem Terminus IT-KRITIS 
umschreiben. 

2. All-hazards-Ansatz: Auch die physischen Kompo- 
nenten sind Teil des nationalen Zivilschutzmodells. 
Deshalb umfasst der zweite Ansatz sowohl den 
Schutz der IT-KRITIS als auch den physischen 
Schutz. Die zentralen Koordinations- und Strategie- 
organe sind zugleich Kompetenzzentren für IT-Si- 
cherheit, Zivil- und Katastrophenschutz. 22 » 

Auf europäischer Ebene ist das Europäische Programm 
fiir den Schutz der Kritischen Infrastrukturen (EPSKIp^'^ 
Grundlage der derzeitigen Aktivitäten.23o Zu benennen ist 
beispielsweise der Aktionsplan zum Schutz Kritischer 
Informationsinfrastrukturen (CIIP-Aktionsplan), der im 
Rahmen einer Mitteilung der Kommission mit dem Titel 
Schutz Europas vor Cyber-Angriffen und Störungen gro- 
ßen Ausmaßes: Stärkung der Abwehrbereitschaft, Sicher- 
heit und Stabilitäfi^^ am 30. März 2009 veröffentlicht 
wurde. Im Rahmen des CIIP-Aktionsplans gibt es „eine 
beginnende Kooperation zwischen Behörden der EU- 
Mitgliedstaaten, die sich um den Schutz von kritischen 
Informationsinfrastrukturen kümmern, und privatwirt- 
schaftlichen Unternehmen, die kritische Informationsin- 
frastrukturen betreiben oder unterstützen “. 222 


22 * Vgl. zu IT-KRITIS und zum All-hazards-Ansatz ausführlich Bundes- 
amt für Sicherheit in der Informationstechnik: Internationale Aktivi- 
täten zum Schutz Kritischer Infrastrukturen. 2002, S. 2 f. Online ab- 
rufbar unter: https://www.bsi.bund.de/cae/servlet/contentblob/476704 / 
publicationFile/30898/Artikel_Intemationales_2004_2008_pdf.pdf 
In einem dritten „Sonderfall“ gibt es „keine Kooperationen zwischen 
öffentlichem und privatem Sektor“ („chinesisches Modell“) (ebda.). 

229 Mitteilung der Kommission über ein Europäisches Programm für den 
Schutz kritischer Infrastrukturen. KOM(2006)786 endgültig vom 
12. Dezember 2006. ABI. C 126 vom 7. Juni 2007. Online abrufbar 
unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do? uri=COM: 
2006:0786:FIN:DE:PDF 

230 Ygi Europa - Zusammenfassung der EU-Gesetzgebung: Europäisches 
Programm für den Schutz kritischer Infrastrukturen. Online abrufbar 
unter: http://europa.eu/legislation_summaries/justice_ffeedom_secu 
rity/fight_against_terrorism/133260_de.htm 

2^1 Mitteilung der Kommission an das Europäische Parlament, den Rat, 
den Europäischen Wirtschafts- und Sozialausschuss und den Aus- 
schuss der Regionen über den Schutz kritischer Informationsinfra- 
strukturen - „Schutz Europas vor Cyber-Angriffen und Störungen 
großen Ausmaßes: Stärkung der Abwehrbereitschaft, Sicherheit und 
Stabilität“ {SEK(2009) 399} {SEK(2009) 400}. KOM(2009) 149 
endgültig vom 30. März 2009. ABI. C 296 vom 30. Oktober 2010. 
Online abrufbar unter: http://eur-lex.europa.eu/LexUriServ/LexUri 
Serv.do?uri=COM:2009:0149:FIN:DE:PDF 

232 Bundesamt für Bevölkerungsschutz und Katastrophenhilfe/Bundes- 
amt für Sicherheit in der Informationstechnik: Internationale Aktivi- 
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Im Rahmen der internationalen Zusammenarbeit unter- 
stützt Deutschland alle Bemühungen und Maßnahmen, 
grenzüberschreitende Kritische Infrastrukturen zu erken- 
nen und deren Verletzlichkeit zu minimieren. Es werden 
auch bilaterale Kooperationen zum Informationsaus- 
tausch gefordert und Maßnahmen zum Schutz Kritischer 
Infrastrukturen aufeinander abgestimmt. Wichtige inter- 
nationale Partner und Kooperationen sind insbesondere 
die unmittelbar angrenzenden Nachbarstaaten, die Euro- 
päische Union, die G8-Staaten, die G20-Staaten und die 
NAT0.233 

Seit den Anschlägen des 11. September 2001 hat die 
NATO ihre Bemühungen zur Terrorismusbekämpfung 
versfärkt, da auch Terrorakfe zu den Gefahren für die Si- 
cherheit des Bündnisses gehören. Wichtig ist in diesem 
Zusammenhang das 2004 gegründete Programm Defence 
against Terrorism Program of Work (DAT POW)?^'^ Mit 
diesem Programm werden Projekte in zehn Bereichen un- 
terstützt, in denen mittels neuartiger und innovativer 
Technologien terroristische Aktivitäten bekämpft oder 
zumindest die Folgen von terroristischen Anschlägen ge- 
mildert werden können. Dazu zählt auch der Schutz Kriti- 
scher Infrastrukturen. 235 Mit der NATO PoUcy on Cyber 
Defence hat sich die NATO durch die Beschlüsse des Lis- 
sabon-Gipfels ein Programm zur Sicherstellung der eige- 
nen Netzwerke und der der Mitgliedstaaten in Zusam- 
menarbeit mit allen Akteuren auferlegt. 236 

Das 2006 gegründete UN Internet Govemance Forum 
(IGF)237 bietet die Möglichkeit, das Thema auf internatio- 
naler Ebene und in einer Multi-Stakeholder-Umgebung 


täten zum Schutz Kritischer Infrastrukturen. Online abrufbar unter: 
http://www.kritis.bund.de/SubSites/Kritis/DE/Aktivitaeten/Intematio 
nales/intemationaiesnode.html 

233 Ygi Bundesministerium des Innern: Nationale Strategie zum Schutz 
Kritischer Infrastmkturen (KRITIS-Strategie). Juni 2009, S. 18. On- 
line abmibar unter: http://www.bmi.bund.de/SharedDocs/Downloads 

/DE/Broschueren/2009/kritis.pdf? blob=publicationFile 

NATO - North Atlantic Treaty Organization: Defence against terro- 
rism Programme of work (DAT POW). Online abmfbar unter: http:// 
www.nato.int/cps/en/natolive/topics_50313.htm 

235 Ygi Auswärtiges Amt: Die NATO und die Bekämpfung des Terroris- 
mus. Online abmfbar unter: http://www.auswaertiges-amt.de/DE/ 
Aussenpolitik/GlobaleFragen/TerrorismusOK/Terrorismusbekaem 
pfungNATO_node.htm 

236 NATO - North Atlantic Treaty Organization: Defending the net- 
works. The NATO Policy on Cyber Defence. 2011. Online abmfbar 
unter: http://www.nato.int/nato_static/assets/pdf/pdf_20 1 1 09/201 1 1 
004 1 10914-policy-cyberdefence.pdf. Siehe hierzu auch die Ausfiih- 
mngen auf: NATO - North Atlantic Treaty Organization: NATO and 
Cyber defence. Online abmfbar unter: http://www.nato.int/cps/en/na- 
tolive/topics_78 170.htm sowei die beiden UN Resolutionen 57/239 
(2002): Creation of a global culture of cybersecurity. 3 1 . Januar 2003 
und 58/199 (2004): Creation of a global culture of cybersecurity and 
the protection of critical information infrastmctures. 30. Januar 2004. 
Online abmfbar unter: http://www.itu.int/ITU-D/cyb/cybersecurity/ 
docs/UN_resolution_57_239.pdf http://www.itu.int/ITU-D/cyb/cyber 
security/docs/UN_resolution_58 _199.pdf. Auch die OECD setzt 
sich mit dem Thema Schutz Kritischer Informationsinfrastmkturen 
auseinander. Siehe hierzu: OECD: OECD Recommendation on the 
Council on the Protection of Critical Information Infrastmcture. 
[C(2008)35]. OECD Ministerial Meeting on the Future of the Inter- 
net Economy, Seoul, Korea, 17. bis 18. Juni 2008. Online abmfbar 
unter: http://www.oecd.org/sti/40825404.pdf 

Informationen zum IGF Internet Govemance Fomm unter: http:// 
WWW. intgovfomm.org 


zu besprechen. Aufgabe des IGF ist u. a. „Fragen des öf- 
fentlichen Interesses zu erörtern, die mit wesentlichen 
Elementen der Internet- Verwaltung Zusammenhängen, 
um die Nachhaltigkeit, Robustheit, Sicherheit, Stabilität 
und Entwicklung des Internets zu fördern“ und „unter an- 
derem Fragen im Zusammenhang mit kritischen Internet- 
Ressourcen zu erörtem“.238 

1 .3.2 Aktivitäten auf europäischer Ebene 

1. 3.2.1 initiativen der Europäischen Union (EU) 

Im Jahr 2004 hat der Europäische Rat die EU-Kommis- 
sion beauftragt, eine Gesamtstrategie zur Verstärkung des 
Schutzes Kritischer Infrastrukturen zu erarbeiten.239 Vor- 
geschlagen wurden Maßnahmen zur verstärkten Präven- 
tion, Abwehrbereitschaft und Reaktionsfähigkeit der Eu- 
ropäischen Union bei terroristischen Angriffen auf 
Kritische Infrastrukturen. Die EU-Kommission legte am 
20. Oktober 2004 die Mitteilung Schutz kritischer Infra- 
strukturen im Rahmen der Terrorismusbekämpfung^'^^ vor. 
Diese gibt einen Überblick über die Maßnahmen auf eu- 
ropäischer Ebene zum Schutz Kritischer Infrastrukturen 
und enthält Vorschläge für zusäfzliche Maßnahmen zur 
Stärkung der bestehenden Instrumente. 

2006 wurde das Europäische Programm für den Schutz 
kritischer Infrastrukturen (EPSKIf'^^ ausgearbeitet. Das 
EPSKI schlägt konkrete gesetzgeberische Maßnahmen 
vor, beispielsweise die Etablierung eines Verfahrens zur 
Ermittlung und Ausweisung Kritischer europäischer In- 
frastrukturen und eines gemeinsamen Konzeptes für die 
Bewertung der Notwendigkeit des Schutzes derartiger In- 
frastrukturen. Daneben werden die Errichtung eines 
Warn- und Informationsnetzes für Kritische Infrastruktu- 
ren (WINKI), die Einsetzung einer EU- Sachverstän- 
digengruppen zu Fragen des Schutzes Kritischer Infra- 
strukturen und der regelmäßige Informationsaustausch 
vorgeschlagen. Ziel des EPSKI ist die Verbesserung des 
Schutzes Kritischer Infrastrukturen in der EU. Dies soll 
durch die Einführung einer europäischen Gesefzgebung 
zum Schutzes Kritischer Infrastrukturen sichergestellt 
werden. Das EPSKI wird durch das Gemeinschaftspro- 


238 UN/ITU: Weltgipfel über die Informationsgesellschaft. Genf 2003- 
Tunis 2005. Tunis Agenda for the Information Society. Dokument 
WSIS-05/TUNIS/DOC/6(Rev. 1)-G. 18. November 2005, Nr. 72. On- 
line abrufbar unter: http://www.un.org/depts/german/conf/wsis-05- 
tunis-doc-6revl.pdf Siehe hierzu ausführlich: Bundestagsdrucksa- 
che 17/12480: Elfter Zwischenbericht der Enquete-Kommission In- 
ternet und digitale Gesellschaft. Internationales und Internet Gover- 
nance. Online abrufbar unter: http://dipbt.bundestag.de/extrakt/ba/ 
WP17/246/24667.html 

239 Ygl. Europa - Zusammenfassung der EU-Gesetzgebung: Schutz kri- 
tischer Infrastrukturen. Online abrufbar unter: http://europa.eu/legis 
lationsummaries/justicefreedomsecurity/fightagainstterrorism/ 
133259_de.htm 

240 Mitteilung der Kommission an den Rat und das Europäische Parla- 
ment. Schutz kritischer Infrastrukturen im Rahmen der Terrorismus- 
bekämpfung. KOM(2004)702 endgültig vom 20. Oktober 2004. On- 
line abrulbar unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ. 
do?uri=COM:2004:0702:FIN:DE:PDF 

241 Mitteilung der Kommission über ein Europäisches Programm für den 
Schutz kritischer Infrastrukturen. KOM(2006)786 endgültig vom 
12. Dezember 2006. Online abrufbar unter: http://eur-lex.europa.eu/ 
LexUriServ/LexUriServ.do?uri=COM:2006:0786:FIN:DE:PDF 
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gramm „Prävention, Abwehrbereitschaft und Folgenbe- 
wältigung im Zusammenhang mit Terrorakten und ande- 
ren Sicherheitsrisiken“, welches im Februar 2007 
angenommen wurde, von 2007 bis 2013 kofinanziert.242 
Am 17. November 2005 nahm die Kommission das 
Grünbuch über ein Europäisches Programm fiir den 
Schutz Kitischer Infrastrukturen^'^^ an. 2006 erfolgte der 
Beschluss über die Finanzierung des EPSKl-Pilotpro- 
jekts. Zudem legte die Kommission einen Vorschlag für 
eine Richtlinie über die Ermittlung und Ausweisung kriti- 
scher europäischer Infrastrukturen und die Bewertung 
der Notwendigkeit, ihren Schutz zu verbessernd'^ vor. Die 
Richtlinie wurde zwischenzeitlich erlassen und in Deutsch- 
land durch die Verordnung zum Schutz von Übertra- 
gungsnetzen245 umgesetzt. 

2009 stellte die EU-Kommission einen Aktionsplan für 
den Schutz Kritischer Informationsinfrastrukturen im 
Rahmen einer Mitteilung^^ö vor. Im Gegensatz zu EPSKl 
konzentriert sich dieser auf den IKT-Sektor. Das weitere 
Vorgehen wurde 2011 in der Veröffentlichung der Euro- 
päischen Kommission Ergebnisse und nächste Schritte: 
der Weg zur globalen NetzsicherheiP^’’ vorgeschlagen 
und im März 2012 mit der Mitteilung der Kommission 
Kriminalitätsbekämpfung im digitalen Zeitalter: Errich- 
tung eines Europäischen Zentrums zur Bekämpfung der 
Cyberkriminalitäf^^ fortge schrieben. 


242 Ygi dazu ausführlich: Europa - Zusammenfassung der EU-Gesetz- 
gebung: Europäisches Programm für den Schutz kritischer Infra- 
strukturen. Online abrufbar unter: http://europa.eu/legislation_sum 
maries/justice_freedom_security/fight_against_terrorism/133260_de. 
htm 

Grünbuch über ein europäisches Programm für den Schutz kritischer 
Infrastrukturen (von der Kommission vorgelegt). KOM(2005)576 
endgültig vom 17. November 2005. Online abrufbar unter: http://eur- 
lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2005:0576:FIN 
:DE:PDF 

244 Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die 
Ermittlung und Ausweisung europäischer kritischer Infrastrukturen 
und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern. 
Text von Bedeutung für den EWR. ABI. L 345 vom 23. Dezember 
2008, S. 75-82. Online abrufbar unter: http://eur-lex.europa.eu/Lex 
UriServ/LexUriServ.do?uri=OJ:L:2008:345:0075:0082:DE:PDF 

245 Verordnung zum Schutz von Übertragungsnetzen vom 6. Januar 
2012 (BGBl. I S. 69). Online abrufbar unter: http://www.gesetze-im- 
intemet.de/_nschutzv/BJNR006900012.html 

246 Mitteilung der Kommission an das Europäische Parlament, den Rat, 
den Europäischen Wirtschafts- und Sozialausschuss und den Aus- 
schuss der Regionen über den Schutz kritischer Informationsinfra- 
stmkturen - „Schutz Europas vor Cyber-Angriffen und Störungen 
großen Ausmaßes: Stärkung der Abwehrbereitschaft, Sicherheit und 
Stabilität“ {SEK(2009) 399} {SEK(2009) 400}. KOM(2009)i49 
endgültig vom 30. März 2009. Online abmfbar unter: http://eur- 
lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2009:0149:FIN 
:DE:PDF 

242 Mitteilung der Kommission an das Europäische Parlament, den Rat, 
den Europäischen Wirtschafts- und Sozialausschuss und den Aus- 
schuss der Regionen über den Schutz kritischer Informationsinfra- 
stmkturen „Ergebnisse und nächste Schritte: der Weg zur globalen 
Netzsicherheit“. KOM(2011)163 endgültig vom 31. März 2011.On- 
line abmfbar unter: http://eur-lex.europa.eu/LexUriServ/LexUri 
Serv.do?uri-COM:2011:0163:FIN:DE:PDF 

248 Mitteilung der Kommission an den Rat und das Europäische Parla- 
ment. Kriminalitätsbekämpfung im digitalen Zeitalter: Errichtung ei- 
nes Europäischen Zentmms zur Bekämpfung der Cyberkriminalität. 
KOM(2012)140 endgültig vom 28. März 2012. Online abmfbar un- 
ter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012: 
0140:FIN:DE:PDF 


Am 13. Dezember 2011 kündigte Neelie Kroes, EU- 
Kommissarin für die Digitale Agenda, eine „große euro- 
päische Strategie für die Sicherheit der europäischen 
Netze“ an.^"'^ Die EU-Kommission hat am 28. März 2012 
die Einrichtung eines europäischen Cybercrime Centre 
(E3C) vorgeschlagen, welches Europol angeschlossen 
werden soll. Es ist geplant, dass das E3C seine Arbeit An- 
fang 2013 aufnimmt. 250 

Europäische Agentur für Netz- und 
Informationssicherheit (ENISA) 

Die Europäische Agentur für Nefz- und Informationssi- 
cherheit (European Network and Information Security 
Agency, ENISA)25i ist, zusammen mit anderen EU-Insti- 
tutionen und nationalen Behörden, zuständig für die 
Entwicklung einer Sicherheitskultur für EU-weite 
Informationsnetze. 252 Rechtsgrundlage von ENISA ist die 
Verordnung des Europäischen Parlaments und des Rates 
vom 10. März 2004 zur Errichtung der Europäischen 

Agentur für Netz- und Informationssicherheit.d^d ihre 

Aufgabe ist es, hochgradige Netz- und Informationssi- 
cherheit zu gewährleisten, indem sie EU-Institutionen 
und staatlichen Behörden fachkundigen Rat zur Netz- und 
Informationssicherheit erteilt, ein Forum für den Aus- 
tausch bewährter Verfahren bietet und Kontakte zwischen 
EU-Institutionen, staatlichen Behörden und Unternehmen 
vermittelt und erleichtert.254 Die Kapazitäten der Europäi- 
schen Union, der EU-Mitgliedstaaten und der Unterneh- 
men im Bereich der Netz- und Informationssicherheit sol- 
len durch ENISA verstärkt werden. Zudem unterstützt 
ENISA die Europäische Kommission bei den technischen 
Vorarbeiten für die Aktualisierung und Weiterentwick- 
lung der EU-Rechtsvorschriften sowie bei den Bemühun- 
gen um eine Zusammenarbeit mit Drittländern zur Förde- 
rung eines Gesamtkonzepts in IT- Sicherheitsfragen sowie 


249 Ermert, Monika/Briegleb, Volker: Neue EU-Strategie für Sicherheit 
in den Netzen angekündigt, heise online, 1 3 . Dezember 2011. Online 
abrufbar unter: http://heise.de/-1394814 

250 Vgl. Mitteilung der Kommission an den Rat und das Europäische 
Parlament. Kriminalitätsbekämpfung im digitalen Zeitalter: Errich- 
tung eines Europäischen Zentrums zur Bekämpfung der Cyberkrimi- 
nalität. KOM(2012)140 endgültig vom 28. März 2012. Online abruf- 
bar unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri= 
COM:2012:0140:FIN:DE:PDF sowie Europol: European Cyber- 
crime Centre to be established at Europol. Pressemitteilung vom 
28. März 2012. Online abmfbar unter: https://www.europol.europa. 
eu/content/press/european-cybercrime-centre-be-established-europol- 
1417 

251 Informationen zu ENISA sind online abmfbar unter: http://www.eni 
sa.europa.eu 

252 Ygi Europäische Union: Wie funktioniert die EU? Agenturen der 
EU. Online abmfbar unter: http://europa.eu/agencies/regulatory_ 
agencies_bodies/policy_agencies/enisa/index_de.htm 

252 Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des 
Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur 
für Netz- und Informationssicherheit (Text von Bedeutung für den 
EWR). ABI. L 77 vom 13. März 2004, S. 1-11. Online abmfbar un- 
ter: http://eur-lex.europa.eu/LexUriServ/LexUri Serv.do?uri=OJ:L: 
2004:077:0001 :0011:DE:PDF 

254 Vgl. Europäische Union: Wie funktioniert die EU? Agenturen der 
EU. Online abmfbar unter: http://europa.eu/agencies/regulatory_ 
agenciesbodies/policyagencies/enisa/indexde.htm 
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darin, eigene Schlussfolgerungen, Leitlinien und Rat- 
schläge zu formulieren. 255 

ENISA setzt sich aus einem Verwaltungsrat, einem Di- 
rektor und einer Ständigen Gruppe der Interessenvertreter 
zusammen, ln den Verwaltungsrat werden von jedem EU- 
Mitgliedstaat je ein und von der Kommission drei Vertre- 
ter entsandt. Darüber hinaus gehören dem Verwaltungsrat 
je ein Vertreter der IKT-lndustrie, von Verbrauchergrup- 
pen sowie ein wissenschaftlicher Sachverständiger für die 
Netz- und Informationssicherheit an, welche jedoch kein 
Stimmrecht besitzen. Der Direktor wird vom Verwal- 
tungsrat aus einer von der EU-Kommission vorgelegten 
Bewerberliste ausgewählt und ernannt. Die Ständige 
Gruppe der Interessenvertreter besteht aus Vertretern der 
IKT-Branche, Verbrauchervertretem und wissenschaftli- 
chen Sachverständigen. 256 

Das Mandat für ENISA soll erweitert werden - über das 
Nachfolgemandat wird derzeit verhandelt.257 Zudem hat 
Neelie Kroes, EU-Kommissarin für die Digitale Agenda, 
eine verstärkte Rolle für ENISA in der europäischen IT- 
Sicherheit angekündigt. 25* Ursprünglich wurde ENISA 
bis zum Jahr 2004 eingerichtet. Im Juni 2011 wurde die 
Einsetzungsdauer bereits zum zweiten Mal bis zum 
13. September 2013 verlängert. 259 


Die Aufgaben von ENISA werden beschrieben in: Verordnung (EG) 
Nr. 460/2004 des Europäischen Parlaments und des Rates vom 
10. März 2004 zur Errichtung der Europäischen Agentur für Netz- 
und Informationssicherheit. (Text von Bedeutung für den EWR). 
ABI. L 77 vom 13. März 2004, Abschnitt 1 Artikel 3. Online abruf- 
bar unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri= 
OJ:L:2004:077:0001:0011:DE:PDF. Vgl. Europa - Zusammenfas- 
sung der EU-Gesetzgebung: Europäische Agentur für Netz- und In- 
formationssicherheit (ENISA). Online abrufbar unter: http://europa. 
eu/legislation_summaries/information_society/intemet/124153_de. 
htm 

Die Organisationsstruktur ist geregelt in: Verordnung (EG) Nr. 460/ 
2004 des Europäischen Parlaments und des Rates vom 10. März 
2004 zur Errichtung der Europäischen Agentur für Netz- und Infor- 
mationssicherheit. Text von Bedeutung für den EWR. ABI. L 77 vom 
13. März 2004, Abschnitt 2 Artikels bis 8. Online abrulbar unter: 
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004: 
077;0001:0011:DE:PDF. Vgl. auch Europa - Zusammenfassung der 
EU-Gesetzgebung: Europäische Agentur für Netz- und Informations- 
sicherheit (ENISA). Online abrufbar unter: http://europa.eu/legis 
lationsummaries/informa tion_society/intemet/124 1 53_de.htm 
Siehe hierzu: Rat der Europäischen Union: 3093. Tagung des Rates 
Verkehr, Telekommunikation und Energie. TELEKOMMUNIKA- 
TION. Pressemitteilung PRES/11/145 vom 27. Mai 2011. Online ab- 
rufbar unter: http://europa.eu/rapid/press-release_PRES-ll-145_de. 
htm?locale=en sowie den zugehörigen Sachstandsbericht 10296/11: 
Vorschlag für eine Verordnung des Europäischen Parlaments und des 
Rates über die Europäische Agentur für Netz- und Informations- 
sicherheit (ENISA) vom 19. Mai 2011. Online abrufbar unter: http:// 
register.consilium.europa.eu/pdf/de/1 1/st 10/st 10296. de 1 1. pdf 

258 Ygi Ermert, Monika/Briegleb, Volker: Neue EU-Strategie für Si- 
cherheit in den Netzen angekündigt, heise online, 13. Dezember 
2011. Online abrulbar unter: http://heise.de/-1394814 

259 Vgl. Verordnung (EU) Nr. 580/2011 des Europäischen Paralaments 
und des Rates vom 8. Juni 201 1 zur Änderung der Verordnung (EG) 
Nr. 460/2004 zur Errichtung der Europäischen Agentur für Netz- und 
Informationssicherheit bezüglich deren Bestehensdauer. Text von 
Bedeutung für den EWR. ABI. L 165 vom 24. Juni 2011, S. 3. Online 
abrulbar unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do? 
uri=OJ:L:20 11:1 65 :0003:0004:DE:PDF 


Am 4. November 2011 wurde die erste europäische Cy- 
bersicherheitsübung Cyber Europe 2010 mit Unterstüt- 
zung der ENISA und der Gemeinsamen Forschungsstelle 
der Europäischen Kommission (Joint Research Centre, 
JRC) durchgeführt. 260 Im Abschlussbericht über die Cy- 
bersicherheitsübung wird die Übung als „useful ’cyber 
stress test’“ bewertet. Wichtige Ergebnisse der Übung 
waren auch die Klärung der Kompetenzen in den jeweili- 
gen europäischen Ländern und die Benennung eines An- 
sprechpartners in jedem Land. 26' Die Mitgliedstaaten 
wollen weitere nationale und europäische Cybersicher- 
heitsübungen durchführen und bei diesen den privaten 
Sektor einbeziehen.262 Aufbauend auf den Erkenntnissen 
der ersten europäischen Cybersicherheitsübung fand am 
4. Oktober 2012 die zweite Cybersicherheitsübung Cyber 
Europe 2012 statt.263 


1. 3.2.2 Initiativen des Europarates 

Am 8. November 2001 wurde das Übereinkommen über 
Computerkriminalität264 (englisch: Convention on Cyber- 
crime, CC) durch das Ministerkomitee des Europarats in 
Budapest verabschiedet (siehe hierzu ausführlich Kapitel 
2/2.3. 1.1). 


1.3.3 Aktivisten auf Bundesebene 

Die Gewährleistung des Schutzes Kritischer Infrastruktu- 
ren ist eine „Kemaufgabe staatlicher und unternehmeri- 
scher Sicherheitsvorsorge und zentrales Thema der Si- 
cherheitspolitik“ in Deutschland. 265 Auf Bundesebene 
wird diese komplexe und vielschichtige Aufgabe durch 
mehrere Akteure wahrgenommen. Es wurden verschie- 
dene Strategien und Maßnahmen entwickelt. Im Folgen- 


260 Ygi Europäische Kommission: Digitale Agenda: Experten für Netz- 
sicherheit erproben Abwehrfähigkeit bei erster gesamteuropäischer 
Simulation. Pressemitteilung IP/10/1459 vom 4. November 2010. 
Online abrufbar unter: http://europa.eu/rapid/pressReleasesAction. 
do?reference=IP/ 1 0/ 1 459&format=HTML&aged= 1 &language^DE& 
guiLanguage=en 

Vgl. European Network and Information Security Agency (ENISA): 
Cyber Europe 2010 Report. 18. April 2011, S. 8. Online abrufbar un- 
ter: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber 
-crisis-cooperation/cyber-europe/ce20 1 0/ce20 1 Oreport 

262 Ygl. ebd., S. 6. 

263 Ygl. European Network and Information Security Agency (ENISA): 
Cyber Europe 2012. Online abrufbar unter: http://www.enisa.euro 
pa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation/cyber- 
europe/cyber-europe-2012 sowie European Network and Information 
Security Agency (ENISA): Cyber Europe 2012. Key Findings and 
Recommendations. Dezember 2012. Online abrufbar unter: http:// 
www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-co 
operation/cyber-europe/cyber-europe-20 12/cyber-europe-20 1 2-key- 
findings-report/atdownload/fullReport 

264 Übereinkommen über Computerkriminalität. SEV Nr. 185 vom 
23. November 2001. Online abrufbar unter: : http://conventions. 
coe.int/treaty/ger/treaties/html/ 1 85.htm 

265 Dazu ausführlich Bundesministerium des Innern: Nationale Strategie 
zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie). Juni 
2009, S. 2. Online abrufbar unter: http://www.bmi.bund.de/Shared 

Docs/Downloads/DE/Broschueren/2009/kritis.pdf? blob=publica 

tionFile 
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den werden, ohne den Anspruch auf Vollständigkeit, die 
Akteure und Maßnahmen vorgestellt. 

1.3. 3.1 Akteure 

Bundesministerium des Innern (BMI) 

Die ressortübergreifende Koordinierung des Schutzes 
Kritischer Infrastrukturen aller bundesstaatlichen Maß- 
nahmen obliegt dem BMI. Bereits 2005 hat das BMI als 
die in Deutschland für die Innere Sicherheit zuständige 
Behörde gemeinsam mit Sicherheitsexperten des Bundes- 
amtes für Bevölkerungs schütz und Katastrophenhilfe 
(BBK), des Bundeskriminalamtes (BKA) und aus der 
Wirtschaft ein Basisschutzkonzept^^^ erarbeitet, das po- 
tenzielle Gefährdungen analysierf und Maßnahmen für 
Schufzvorkehrungen baulicher, organisatorischer, perso- 
neller und technischer Art empfiehlt. Auf dieser 
Grundlage baut der 2008 veröffentlichte und 2011 aktua- 
lisierte Leitfaden Schutz Kritischer Infrastrukturen - Ri- 
siko- und Krisenmanagemenf^^ für die Betreiber Kriti- 
scher Infrastrukturen auf 

Die Zuständigkeit des BMI erstreckt sich auch auf die Si- 
cherheit im Cyber-Raum und den Schutz der Kritischen 
Informationsstrukturen. 

Bundesamt für Sicherheit in der 
Informationstechnik (BSI) 

Das Bundesamt für Sicherheit in der Informationstechnik, 
eine nationale Sicherheitsbehörde im Geschäftsbereich des 
BMI, versteht sich als zentraler IT- Sicherheitsdienstleister 
des Bundes mit dem Ziel, die IT-Sicherheit in Deutschland 
voranzubringen. Es wurde am 1. Januar 1991 als unabhän- 
gige und neutrale Stelle für Fragen zur IT-Sicherheit in der 
Informationsgesellschaft gegründet.^^^ Zu seinen Aufgaben 
zählen die vier Kembereiche Information und Beratung zur 
IT-Sicherheit, Entwicklung von IT-Sicherheitsanwendun- 
gen und -produkten sowie Zertifizierung von IT-Sysfe- 
men.270 Diese sind ausführlich im Gesefz über das Bundes- 
amt für Sicherheit in der Informationstechnik (BSI-Gesetz, 
BSIG), Artikel 3, beschrieben. 


Bundesministerium des Innern: Schutz Kritischer Infrastrukturen - 
Basisschutzkonzept. Empfehlungen für Unternehmen. 2. Auflage 
November 2005. Online abrufbar: http://www.bmi.bund.de/Shared 
Docs/Downtoads/DE/Broschueren/2005/Basisschutzkonzept_kritische 
_Infrastrukturen.pdf;jsessionid=4B2DDAAB8B483B7972D70E05 

84F09B5B. 2 cid287? bIob=publicationFile 

267 Vgl. Bundesministerium des Innern: Schutz Kritischer Infrastruktu- 
ren. Online abrufbar unter: http://www.bmi.bund.de/DE/Themen/Be 
voelkerungsschutz/Schutz-Kritischer-Infrastrukturen/schutz-kritischer- 
infrastrukturen_node.html in Verbindung mit Bundesministerium des 
Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen 
(KRITIS-Strategie). Juni 2009. Online abrulbar unter: http://www. 
bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2009/kritis. 
pdf? blob=publicationFile 

Bundesministerium des Innern: Schutz Kritischer Infrastrukturen - 
Risiko- und Krisenmanagement. Leitfaden für Unternehmen und Be- 
hörden. Mai 2011. Online abrufbar unter: http://www.bmi.bund.de/ 
SharedDocs/Downloads/DE/Broschueren/2008/Leitfaden_Schutz_ 

kritischer_Infrastrukturen.pdf? blob=publicationFile 

269 Ygi Bundesamtes für Sicherheit in der Informationstechnik: Das BSI. 
Aufgaben. Organisationsübersicht des BSI. Online abrulbar unter: https:// 
www.bsi.bund.de/DE/DasBSI/Aufgaben/aufgaben_node. html 


In der Stellungnahme des BSI, die der Projektgmppe im 
Rahmen des öffentlichen Expertengesprächs „Sicherheit 
im Netz“ vom 28. November 2011 zugegangen ist, wurde 
darauf hingewiesen, dass „staatliche Eingriffsbefugnisse 
[...] für das BSI in Bezug auf IKT- Sicherheit Kritischer 
Infrastrukturen in der Regel weder allgemein noch kon- 
kret [bestehen]. Daher kann das BSI den unmittelbaren 
Schutz Kritischer Infrastrukturen durch Anwendung eige- 
ner Mittel nur begrenzt gewährleisten. Dennoch besteht 
natürlich ein erhebliches staatliches Interesse, den not- 
wendigen Schutz Kritischer Infrastrukturen sicherzustel- 
len. Im Rahmen seines Auftrags trägt des BSI hierzu in 
verschiedensten Bereichen umfangreich bei. Beispielhaft 
sollen hier folgende Punkte genannt werden: 

- Besondere Berücksichtigung des Schutzes Kritischer 
Infrastrukturen bei der Umsetzung der Cybersicher- 
heitsstrategie des Bundes 

- Kooperation mit Betreibern Kritischer Infrastrukturen 
bei der strategischen Umsetzung des IKT-spezifischen 
Schutzes Kritischer Infrastrukturen (Kontext: Cybersi- 
cherheitsstrategie des Bundes, Umsetzungsplan KRI- 
TIS) 

- Einbindung von Betreibern Kritischer Infrastrukturen 
in die Warn- und Krisenkommunikation des IT-Lage- 
zentrums und des IT-Krisenreaktionszentrums des 
Bundes, das im BSI betrieben wird 

- Spezifische Berücksichtigung von Aspekten des 
Schutzes Kritischer Infrastrukturen bei der täglichen 
Beobachtung der IKT-Lage 

- Besondere Behandlung von IKT- Vorfällen mit Rele- 
vanz für Kritische Infrastrukturen (z. B. Stuxnet) 

Darüber hinaus sind die allgemeinen Tätigkeiten des BSI 
eine gerade für den Schufz Kritischer Infrastrukturen un- 
verzichtbare Grundlage. Dies sind beispielsweise: 

- Bereitstellung allgemeiner Empfehlungen zum Schutz 
von IKT-Systemen. Diese enthalten auch wesentliche 
Hinweise für den Schufz Kritischer Infrastrukturen 
enthalten (IT-Grundschutz nach BSI, ISi-Reihe et al.) 

- Bereitstellung von Studien und Sicherheitsanalysen zu 
spezifischen IKT-Themen und IKT-gestützten Basis- 
technologien 

- Verbesserung des Schutzes von IKT-Systemen allge- 
mein. Dies trägt auch zur Verringerung der allgemeine 
Bedrohung für Kritische Infrastrukturen bei. 


270 Vgl. Bundesamtes für Sicherheit in der Informationstechnik: Das 
BSI. Unser Leitbild. Online abrufbar unter: https://www.bsi.bund.de/ 
DE/DasBSI/Leitbild/leitbild_node.html 

271 Könen, Andreas: Schriftliche Stellungnahme, vorgelegt im Rahmen 
des Expertengesprächs „Sicherheit im Netz“ der Projektgruppe Zu- 
gang, Struktur und Sicherheit im Netz der Enquete-Kommission In- 
ternet und Digitale Gesellschaft des Deutschen Bundestages vom 
28. November 2011, S. 2. Online abrufbar unter: http://www.bundes 
tag.de/intemetenquete/dokumentation/Zugang_Struktur_und_Sicher 
heit_im_Netz/PGZustrSi_20 11-11 -28_oeffentliches_Expertenge 
spraech/PGZuStSi_20 11-11 -28_Expertengespraech_Stellungnahme_ 
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Innerhalb des BSI: CERT-Bnnd 

Die Betreiber Kritischer Infrastrukturen sind in die Wam- 
und Krisenkommunikation des IT- Lagezentrums und des 
IT-Krisenreaktionszentrums des Bundes (CERT-Bund, 
kurz für Computer Emergency Response Team der Bun- 
desverwaltung) eingebunden, das im BSI betrieben wird. 
Die IKT-Lage wird unter Berücksichtigung des Schutzes 
von IKT täglich beobachtet. Das BSI stellt zudem allge- 
meine Empfehlungen zum Schutz von IKT-Systemen, 
Studien und Sicherheitsanalysen zu spezifischen IKT- 
Themen und IKT-gestützten Basistechnologie zur Verfü- 
gung.272 CERT-Bund wurde am 1. September 2001 ge- 
gründet und übernimmt Aufgaben im Bereich der Com- 
putersicherheit in den verschiedenen Institutionen der 
Bundesrepublik Deutschland. Das BSI bietet auch einen 
kostenfreien Dienst für Privatpersonen an, das so ge- 
nannte Bürger-CERT,273 der vor Sicherheitslücken in 
Computerprogrammen warnt. 

Das BSI sieht bei elektronischen Automatisierungs-, 
Steuerungs- und Kontrollsystemen ein steigendes Risiko 
für IT-Angriffe, und zwar insbesondere hinsichtlich der 
Systeme, die für die Steuerung kritischer Infrastrukturen 
eingesetzt werden. Solche SCADA-Systeme sind mittler- 
weile beinahe Standard in der Verkehrssteuerung sowie in 
der Energie- und Wasserversorgung. Im Finanzwesen 
stützt man sich hauptsächlich auf IT- Verfahren, insbeson- 
dere im Hinblick auf Finanztransaktionen. Auch Kran- 
kenhäuser setzen, sowohl was den Umgang mit Patien- 
tendaten angeht als auch sogar in der Intensivmedizin, 
zunehmend auf IT. Notfall- und Rettungsdienste nutzen 
im Einsatz Smartphones und andere Mobilkommunika- 
tionssysteme und werden damit potenziell Opfer von 

IT-Angriffen.224 

Bundesamt für Bevölkerungsschutz 
und Katastrophenhilfe (BBK) 

Beim BBK werden alle einschlägigen Aufgaben zur Si- 
cherung der zivilen Sicherheit an einer Stelle gebündelt. 


Koenen.pdf. Nach § 7 BSIG besteht die Befugnis, Warnungen vor Si- 
cherheitslücken in informationstechnischen Produkten und vor 
Schadprogrammen an die betroffenen Kreise oder die Öffentlichkeit 
weiterzugeben oder Sicherheitsmaßnahmen zu empfehlen. Vgl. dazu 
Gesetz über das Bundesamt für Sicherheit in der Informationstech- 
nik. BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821). Online ab- 
rufbar unter: http://www.gesetze-im-intemet.de/bsig_2009/index.html 

272 Ygi Könen, Andreas: Schriftliche Stellungnahme, vorgelegt im Rah- 
men des Expertengesprächs „Sicherheit im Netz“ der Projektgmppe 
Zugang, Stmktur und Sicherheit im Netz der Enquete-Kommission 
Internet und Digitale Gesellschaft des Deutschen Bundestages vom 
28. November 2011, S. 2 f. Online abmfbar unter: : http://www.bun 
destag.de/intemetenquete/dokumentation/Zugang_Stmktur_und_Si 
cherheit_im_Netz/PGZustrSi_20 11-11 -28_oeffentliches_Expertenge 
spraech/PGZuStSi_20 11-11 -28_Expertengespraech_Stellungnahme_ 
Koenen.pdf 

Das Bürger-CERT ist online erreichbar unter: https://www.buerger- 
cert.de/ 

274 Ygi dazu ausführlich John-Koch, Monika: Ein Thema auch des Be- 
völkemngsschutzes. Cyber-Sicherheit als gesamtgesellschaftliches 
Problem. In: Bevölkemngsschutz, hrsg. im Auftrag des Bundes- 
ministerium des Innern vom Bundesamt für Bevölkerungsschutz und 
Katastrophenhilfe (BBK). 4. Quartal 2011, S. 5. Online abmfbar un- 
ter: : http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Pu 
blikationen/Publ_magazin/bsmag_4_l 1 .pdf? blob=publicationFile 


Es ist Fachbehörde des BMI, kann aber fachübergreifend 
alle Bereiche der zivilen Sicherheitsvorsorge berücksich- 
tigen und andere Bundes- und Landesbehörde beraten 
und unterstützen. Das BBK koordiniert den Schutz Kriti- 
scher Infrastrukturen und insbesondere die Kommunika- 
tionen des Bundes mit den Ländern und Gemeinden, der 
Privatwirtschaft und der Bevölkerung über Vorsorgepla- 
nung und aktuelle Bedrohungen. Es sammelt die ver- 
schiedenen Informationsquellen zu Gefahren, fasst diese 
zusammen und bewertet sie. Außerdem unterstützt es das 
Management von Einsatzkräften des Bundes und anderer 
öffentlicher und privater Ressourcen bei großflächigen 
Gefahrenlagen. Es ist zuständig für die bedrohungsge- 
rechte Ausbildung von Führungskräften aller Verwal- 
tungsebenen im Bevölkerungsschutz. Zudem ist es zu- 
ständig für die Koordinierung von Bund, Ländern, 
Feuerwehren und privaten Hilfsorganisationen bei der 
Wahrnehmung internationaler humanitärer Aufgaben und 
in der zivil-militärischen Zusammenarbeit . 225 

Das BBK nahm im Jahr 2004 seine Arbeit auf Nach den 
Anschlägen auf das World Trade Center in New York am 
11. September 2001 und nach der Flutkatastrophe in 
Deutschland im Jahr 2002 stand die bisherige Zweitei- 
lung des deutschen Katastrophenvorsorgesystems, das 
zwischen der Bundeszuständigkeit für den Bevölkerungs- 
schufz im Verteidigungsfall und der alleinigen Zuständig- 
keit der Länder auch bei länderübergreifenden Katastro- 
phenfällen unterscheide!, in Frage. Die Einrichtung des 
BBK trägt dem Bedürfnis nach einem gemeinsamen 
Krisenmanagement durch Bund und Länder bei außer- 
gewöhnlichen, national bedeutsamen Gefahren- und 
Schadenslagen Rechnung, bei dem alle Ebenen Zusam- 
menarbeiten müssen. 226 

Das BSI und das BBK betreiben eine gemeinsame Inter- 
netplattform zum Schutz kritischer Infrastrukturen . 222 

Bundesanstalt Technisches Hilfswerk 
(THW) 

Gemäß § 1 Absatz 2 des Gesetzes über das Technische 
Hilfswerk (THW-Helferrechtsgesetz, THW-Gesetz) leis- 
tet die Bundesanstalt Technisches Hilfswerk technische 
Hilfe: „1. nach dem Zivilschutz- und Katastrophenhilfe- 
gesetz, 2. im Ausland im Auftrag der Bundesregierung, 3. 
bei der Bekämpfung von Katastrophen, öffentlichen Not- 
ständen und Unglücksfällen größeren Ausmaßes auf An- 
forderung der für die Gefahrenabwehr zuständigen Stel- 
len sowie 4. bei der Erfüllung öffentlicher Aufgaben im 
Sinne der Nummer 1 bis 3, soweit es diese durch Verein- 


275 Ygl. dazu ausführlich Bundesamt für Bevölkerungsschutz und Katas- 
trophenhilfe: Das BBK. Über das BBK. Online abrufbar unter: http:// 
www.bbk.bund.de/DE/DasBBK/UeberdasBBK/ueberdasbbk_node. 
html 

276 Vgl. dazu Bundesamt für Bevölkerungsschutz und Katastrophenhil- 
fe: Das BBK. Über das BBK. Online abrulbar unter: http://www. 
bbk.bund.de/DE/DasBBK/UeberdasBBK/ueberdasbbk_node.html 
Die Intemetplattform zum Schutz Kritischer Infrastrukturen ist on- 
line erreichbar unter: http://www.kritis.bund.de/SubSites/Kritis/DE/ 
Home/home node.html 
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barung übernommen hat“.^?« gig ist bundesweit aufge- 
stellt und dabei örtlich, national und weltweit einsatzfa- 
hig. 

Bundeskriminalamt (BKA) 

Das BKA hilft bei der Aufklärung von Verbrechen gegen 
die innere oder äußere Sicherheit der Bundesrepublik 
Deutschland und unterstützt dabei den Generalbundesan- 
walt und die Staatsanwaltschaften. Gemäß § 4 Absatz 1 
Nummer 5 des Gesetzes über das Bundeskriminalamt und 
die Zusammenarbeit des Bundes und der Länder in krimi- 
nalpolizeilichen Angelegenheiten (BKAG)^^^ ermittelt 
das BKA zum Beispiel auch in besonders schweren Fäl- 
len der Computersabotage (§ 303b Strafgesetzbuch), 
wenn dadurch etwa sicherheitsempfindliche Stellen le- 
benswichtiger Einrichtungen, bei deren Ausfall oder Zer- 
störung eine erhebliche Bedrohung für die Gesundheit 
oder das Leben von Menschen zu befürchten ist, betrof- 
fen sind, oder die innere oder äußere Sicherheit der Bun- 
desrepublik Deutschland beeinträchtigt wird.^*** Das BKA 
unterstützt auch die Behörden der Länder bei Strafverfol- 
gungsmaßnahmen, wenn dies erforderlich ist oder die 
Landesbehörde darum ersucht.^^i Zudem ermittelt es im 
Rahmen der Zentralstelle für anlassunabhängige Recher- 
chen in Datennetzen (ZaRD) im Internet nach strafbaren 
Inhalten. 282 

Bundesnetzagentur (BNetzA) 

Die Bundesnetzagentur ist insbesondere dafür zuständig, 
die Umsetzung von Regulierungsvorhaben voranzutrei- 
ben und zu kontrollieren. Sie stellt die Zuverlässigkeit 
und Sicherheit von Telekommunikationsnetzwerken si- 
cher. 

Bundesministerium der Verteidigung (BMVg) 

Das Bundesministerium der Verteidigung ist für die Lan- 
desverteidigung und die Aufrechterhaltung der Einsatzbe- 
reitschaft und Leistungsfähigkeit der Streitkräfte zustän- 
dig und unterstützt den Schutz Kritischer Infrastrukturen 
in diesem Rahmen seiner Zuständigkeit. 283 


33S § 1 Absatz 2 Gesetz über das Technische Hilfswerk. THW-Helfer- 
rechtsgesetz vom 22. Januar 1990 (BGBl. I S. 118), das zuletzt durch 
Artikel 1 des Gesetzes vom 29. Juli 2009 (BGBl. I S. 2350) geändert 
worden ist. 

3™ Bundeskriminalamtgesetz vom 7. Juli 1997 (BGBl. I S. 1650), das 
zuletzt durch Artikels des Gesetzes vom 21. Juli 2012 (BGBl. I 
S. 1566) geändert worden ist. 

280 Vgl. Bundeskriminalamt; Das BKA. Aufgaben. Ermittlungen. Online 
abrufbar unter: http://www.bka.de/nn_206342/DE/DasBKA/Aufga 

ben/Ermittlungen/ermittlungen node.html? ^nnn=true 

Vgl. § 17 Absatz 1 BKAG. Bundeskriminalamtgesetz vom 7. Juli 
1997 (BGBl. I S. 1650), das zuletzt durch Artikels des Gesetzes 
vom 21. Juli 2012 (BGBl. I S. 1566) geändert worden ist. 

282 Vgl. Bundeskriminalamt: Das BKA. Aufgaben. Zentralstellen. Zen- 

tralstelle für anlassunabhängige Recherche in Datennetzen (ZaRD). 
Online abrufbar unter; http://www.bka.de/nn_206376/DE/DasBKA/ 
Aufgaben/Zentralstellen/ZaRD/zard node.html? nnn=true 

283 Vgl. Bundesministerium der Verteidigung; Die Neuausrichtung der 
Bundeswehr. Nationale Interessen wahren - Internationale Verant- 


1.3. 3.2 Maßnahmen 

Nationaler Plan znm Schntz der 
Informationsinfrastrnktnren (NPSI)284 

Der NPSI wurde 2005 als deutsche Dachstrategie für den 
Schufz der Informationsinfrastrukturen durch das Bun- 
deskabinett beschlossen. Ziele waren Prävention, Re- 
aktion und Nachhaltigkeit. Informationsinfrastrukturen 
sollten angemessen geschützt, bei IT-Sicherheitsvorfällen 
sollte sinnvoll gehandelt und deutsche IT- Sicherheits- 
kompetenz sollte gestärkt werden. Eine Maßnahme aus 
dem NPSI ist der Aufbau eines IT-Lagezentrums, das für 
Bundesbehörden und Betreiber Kritischer Infrastrukturen 
24 Stunden erreichbar ist.285 Der NPSI wurde im Februar 
2011durch die Cyber-Sicherheitsstmtegie für Deutsch- 
land abgelöst. 

Umsetzungsplan KRITIS des Nationalen Plans zum 
Schutz der Informationsinfrastrukturen (UP KRITIS)28'’ 

Der UP KRITIS wurde 2007 gleichzeitig mit dem Umset- 
zungsplan für die Gewährleistung der IT-Sicherheit in der 
Bundesverwaltung (UP Bund) entwickelt. Beim UP KRI- 
TIS haben etwa 30 große Betreiber Kritischer Infrastruk- 
turen in Deutschland beziehungsweise deren Interessen- 
verbände mit Vertretern des Bundes zusammengearbeitet, 
um die dort beschriebenen IT-Sicherheitsmaßnahmen zu 
ihrem eigenen Standard zu erklären und dieses Niveau 
dauerhaft sicherzustellen.287 Der Schwerpunkt der Zu- 
sammenarbeit liegt in der Kommunikation zwischen den 
einzelnen Sektoren sowie zwischen Staat und Unterneh- 
men. Es soll sowohl die Kommunikation verbessert als 
auch die Bewältigung von IT-Krisen geplant und frühzei- 
tig geübt werden, da gerade eine funktionierende Kom- 
munikation und belastbare Beziehungsstrukturen unab- 
dingbar für die Bewältigung einer IT-Krise sind.288 Im 


wortung übernehmen - Sicherheit gemeinsam gestalten. März 2012, 
S. 13, 29. Online abrufbar unter: http://www.bmvg.de/resource/re 
S0urce/MzEzNTM4MmUzMzMyMmUzMTM 1 MzMyZTM2MzIzM 
DMwMzAzMDMwMzAzMDY4MzU30DZmNzU2NjM3NjcyMDI 
wMjAyMDIw/Die%20Neuausrichtung%20der%20Bundeswehr_Juni 
%2020 12_final_barrierefrei.pdf 

284 Bundesministerium des Innern: Nationaler Plan zum Schutz der In- 

formationsinfrastrukturen. Juli 2005. Online abrufbar unter: http:// 
www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Ver 
waltung/Informationsgesellschaft/NationalerPlanSchutzInforma 
tionsinfrastrukturen.pdf? blob=publicationFile 

285 Ygi dazu Bundesamtes für Sicherheit in der Informationstechnik: 
Themen. IT-Krisenmanagement. IT-Lagezentrum. Online abrufbar 
unter: https://www.bsi.bund.de/DE/Themen/IT-Krisenmanagement/ 
IT-Lagezentrum/itlagezentrum_node.html 

286 Bundesministerium des Innern: Umsetzungsplan KRITIS des Natio- 
nalen Plans zum Schutz der Informationsinfrastrukturen (UP KRI- 
TIS). September 2007. Online abrufbar unter: http://www.bmi.bund. 

de/SharedDocs/Downloads/DE/Broschueren/2007/Kritis.pdf? blob 

=publicationFile 

287 Ygi Bundesministerium des Innern: Bundeskabinett verabschiedet 
Pläne zur Erhöhung der IT-Sicherheit in Deutschland. Pressemittei- 
lung vom 5. September 2007. Online abrufbar unter: http://www. 
bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2007/09/it_sicher 
heit.html?nn= 1 09632 

288 Ygl. Grudzien, Waldemar: UPK - Umsetzungsplan KRITIS. In: Be- 
völkerungsschutz, hrsg. im Auftrag des Bundesministerium des In- 
nern vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe 
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Mittelpunkt der Krisenkommunikation stehen SPOCs 
(Single Points of Contact). Der Kommunikationsaufwand 
eines jeden Beteiligten soll minimiert und die Kommuni- 
kationswege sollen strukturiert werden. Die SPOCs fun- 
gieren als Melde- und Verteilerstellen sowohl zum BSl- 
Lagezentrum als auch zu den Kontaktstellen der Unter- 
nehmen der jeweiligen Branche. 

Nationale Strategie zum Schutz Kritischer 
Infrastrukturen (KRITIS-Strategie)^®“ 

Die KRITIS-Strategie aus dem Jahr 2009 fasst die Ziel- 
vorstellungen und den politisch-strategischen Ansatz des 
Bundes zusammen und ist Ausgangspunkt dafür, das bis- 
her Erlangte fortzusetzen und mit Blick auf neue Heraus- 
forderungen weiterzuentwickeln. 291 

Cyher-Sicherheitsstrategie für Deutschland^’^ 

Am 23. Februar 2011 beschloss die Bundesregierung die 
Cyber-Sicherheitsstmtegie für Deutschland Kern- 
punkte der Strategie sind „der verstärkte Schutz Kriti- 
scher Infrastrukturen vor IT-Angriffen, der Schutz der 
IT-Systeme in Deutschland, der Aufbau eines Nationalen 
Cyber-Abwehrzentrums sowie die Einrichtung eines Na- 
tionalen Cyber-Sicherheitsrates. “2’'* Das Nationale Cy- 
ber-Abwehrzentrum nahm am 1. April 2011 seine Arbeit 
mit der Aufgabe auf, „IT-Sicherheitsvorfälle schnell und 
umfassend zu bewerten und abgestimmte Handlungsemp- 
fehlungen zu erarbeiten. Federführend ist das Bundes- 
amt für Sicherheit in der Informationstechnik (BSl). Di- 
rekt beteiligt sind das Bundesamt für Verfassungsschutz 
(BfV) und das Bundesamt für Bevölkerungsschutz und 
Katastrophenhilfe (BBK), als assoziierte Behörden wir- 
ken das Bundeskriminalamt (BKA), die Bundespolizei 


(BBK). 4. Quartal 2011, S. 12 f. Online abmfbar unter: http:// 
www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/ 

Publ_magazin/bsmag4_l 1 .pdf? blob=publicationFile 

2*« Vgl. ebd., S. 13. 

2^0 Bundesministerium des Innern: Nationale Strategie zum Schutz Kri- 
tischer Infrastrukturen (KRITIS-Strategie). Juni 2009. Online abruf- 
bar unter: http://www.bmi.bund.de/SharedDocs/Downloads/DE/Bro 

schueren/2009/kritis.pdf? blob=publicationFile 

2^> Vgl. Bundesministerium des Innern: Nationale Strategie zum Schutz 
Kritischer Infrastrukturen (KRITIS-Strategie). Juni 2009, S. 2. On- 
line abrufbar unter: http://www.bmi.bund.de/SharedDocs/Down 

loads/DE/Broschueren/2009/kritis.pdf? blob=publicationFile 

2^2 Bundesministerium des Innern: Cyber-Sicherheitsstrategie für Deutsch- 
land. Februar 2011. Online abrufbar unter: http://www.bmi.bund.de/ 
SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informations 

gesellschaft/cyber.pdf? blob=publicationFile 

293 Vgl. Bundesministerium des Innern: Cyber-Sicherheitsstrategie für 
Deutschland beschlossen. Pressemitteilung vom 23. Februar 2011. 
Online abrufbar unfer: hffp://www.bmi. bund.de/SharedDocs/Kurz 
meldungen/DE/2011/02/cyber_abwehr.hfml 
2^t Die Beauftragfe der Bundesregierung für Informafionsfechnik: Stra- 
fegische Themen. IT- und Cybersicherheil. Cyber-Sicherheitssfrafe- 
gie für Deufschland. Online abrufbar unter: http://www.cio.bund.de/ 
DE/Strategische-Themen/IT-und-Cybersicherheit/Cyber-Sicherheits- 
strategie-fuer-Deutschland/cybersicherheitsstrategienode.html 
2^^ Bundesamt für Sicherheit in der Informationstechnik: Nationales Cy- 
ber-Abwehrzentrum nimmt Arbeit auf. Pressemitteilung vom 1 . Ap- 
ril 2011. Online abrufbar unter: https://www.bsi.bund.de/Content 
BSI/Presse/Pressemitteilungen/Presse201 1 /Cyber- Abwehrzentrum_ 
01042011.html 


(BPol), das Zollkriminalamt (ZKA), der Bundesnachrich- 
tendienst (BND) und die Bundeswehr mit.^’^ 

IKT-Strategie der Bundesregierung „Deutschland 
Digital 2015“2’7 

Die IKT-Strategie aus dem Jahr 2010 verweist auf die Ak- 
tivitäten der Bundesregierung zum Schutz Kritischer Inf- 
rastrukturen. In ihrem Rahmen planen das federführende 
Bundesministerium für Wirtschaft und Technologie 
(BMWi) und die verschiedenen Ressorts ihre Aktivitäten 
und setzen diese um. Ziel der Strategie Deutschland Digi- 
tal 2015 ist es, das enorme Potenzial von IKT für Wachs- 
tum und Beschäftigung in Deutschland zu nutzen. Ent- 
standen ist die IKT-Strategie im Zusammenspiel von 
Politik, Wirtschaft und Wissenschaft. Der nationale 
IT-Gipfel ist dabei zentrale Plattform.^’* 

Mithilfe der Strategie sollen Unternehmen in ihrer Wett- 
bewerbsfähigkeit gestärkt, Infrastrukturen ausgebaut, 
Schutz- und Individualrechte der Nutzerinnen und Nutzer 
sowie Entwicklung und Forschung in diesem Bereich 
ausgebaut werden. Zudem soll IKT bei der Lösung ge- 
sellschaftlicher Probleme im Bereich Klimaschutz, Ge- 
sundheit und Mobilität genutzt werden. 

Task Force IT-Sicherheit in der Wirtschaft^” 

Im März 2011 wurde zudem die Task Force IT-Sicherheit 
in der Wirtschaft vom BMWi eingesetzt. Damit sollen 
insbesondere die kleinen und mittelständischen Unterneh- 
men beim sicheren Einsatz von IKT-Systemen unterstützt 
werden. Durch eine enge Zusammenarbeit mit der Wirt- 
schaft sollen sie für ein digitales Zeitalter gerüstet wer- 
den. 

Allianz für Cyber-Sicherheit^oi 

Die Allianz für Cyber- Sicherheit ist eine Initiative des 
Bundesamtes für Sicherheit in der Informationstechnik 
(BSI), die in Zusammenarbeit mit dem Bundesverband 


296 Vgl. Bundesministerium des Innern: Cyber-Sicherheitsstrategie für 
Deutschland. Februar 2011, S. 6. Online abrufbar unter: http://wvvAv. 
bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung 

/Informationsgesellschaft/cyber.pdf? blob=publicationFile 

Bundesministerium fiir Wirtschaft und Technologie: IKT-Strategie 
der Bundesregierung „Deutschland Digital 2015“. November 2010. 
Online abrufbar unter: http://www.bmwi.de/Dateien/BBA/PDF/ikt- 
strategie-der-bundesregierung,property=pdf,bereich=bmwi2012,spra 
che=de,rwb=true.pdf 

298 Ygi dazu ausführlich: Bundesministerium für Wirtschaft und Tech- 
nologie: IKT-Strategie der Bundesregierung „Deutschland Digital 
2015“. November 2010, S. 3. Online abrufbar unter: http://www.bmwi. 
de/Dateien/BBA/PDF/ikt-strategie-der-bundesregierung,property=pdf 
,bereich=bmwi20 1 2,sprache=de,rwb=true.pdf 

Informationen zur Task Force IT-Sicherheit in der Wirtschaft sind 
online abrufbar unter: http://www.it-sicherheit-in-der-wirtschaft.de/IT- 
Sicherheit/Navigation/task- force. html 

300 Vgl. Bundesministerium für Wirtschafts und Technologie: Task 
Force IT-Sicherheit in der Wirtschaft. Veranstaltungsmitteilung vom 
29. März 2011. Online abrufbar unter: http://www.bmwi.de/BMWi/ 
Navigation/Service/veranstaltungen,did=382 1 60.html 
Informationen zur Allianz für Cyber-Sicherheit sind online abrufbar 
unter: http://www.allianz-fuer-cybersicherheit.de 
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Informationswirtschaft, Telekommunikation und neue 
Medien e. V. (BITKOM) gegründet wurde. Sie hat das 
Ziel, die Cyber- Sicherheit in Deutschland zu erhöhen und 
die Widerstandsfähigkeit des Standortes Deutschland ge- 
genüber Cyber- Angriffen zu stärken. Sie baut hierfür eine 
umfangreiche Wissensbasis auf und unterstützt den ge- 
genseitigen Informations- und Erfahrungsaustausch. 

Hightech-Strategie 2020 für Deutschland^®^ 

Auch das Bundesministerium für Bildung und Forschung 
(BMBF) beschäftigt sich mit IT- Sicherheit. IKT ist einer 
von fünf Bereichen, auf die sich die Bundesregierung mit 
der Hightech-Strategie 2020 konzentriert. 3®^ Die Förde- 
rung der Forschung im Bereich IT-Sicherheit soll mit der 
Fortführung beziehungsweise Neuauflage des IT-Sicher- 
heifsforschungsprogramms ausgebaut werden. IKT ge- 
hört zu den Schlüsseltechnologien und ist deshalb Vo- 
raussetzung für neue Verfahren und Dienstleistungen, um 
neue gesellschaftliche Herausforderungen zu meistern. 

In der letzten Auswahlrunde des aktuellen Spitzencluster- 
Wettbewerbs fand das Thema IT-Sicherheit im Gegensatz 
zu Themen wie Elektromobilität keine Berücksichtigung. 
Um die bereits in Deutschland aufgebaute Kompetenzen 
zur IT-Sicherheit zu erhalten und auszubauen, ist eine in- 
tensive politische und wirtschaftliche Flankierung nötig. 

Für dieses Programm werden neue Instrumente einge- 
setzt. Geplant sind Innovationsallianzen und Technolo- 
gieverbünde. Kleinere und mittlere Unternehmen sollen 
unter anderem durch vereinfachte Förderverfahren unter- 
stützt werden. Es soll eine zentrale Anlaufstelle geben so- 
wie einen kürzeren Zeitraum zwischen Antragstellung 
und Antragsbescheidung sowie Bereitstellung bewilligter 
Mittel. Anwendungsbereiche sind insbesondere die Auto- 
mobilindustrie und Maschinenbau sowie Gesundheit, 
Medizintechnik, Logistik und Dienstleistungen.^®^ 

Die Übungsserie LÜKEX^®« 

Seit 2004 wird in Deutschland LÜKEX (Länderübergrei- 
fende Krisenmanagement Exercise) als Übungsserie im 
Bereich des nationalen Krisenmanagements durchgeführt. 
Das federführende BMI hat für die Planung, Vorbereitung 
und Durchführung in Abstimmung mit den Ländern eine 
Bund-Länder-Projektorganisation eingerichtet. 3®’ An der 


Bundesministerium für Bildung und Forschung (BMBF) (Hrsg.): Die 
Bundesregierung. Bericht der Bundesregierung. Zukunftsprojekte 
der Hightech-Strategie (HTS-Aktionsplan). 2012. Online abrufbar 
unter: http://www.bmbf.de/pub/HTS-Aktionsplan.pdf 

303 Ygi Bundesministerium für Bildung und Forschung (BMBF) (Hrsg.): 
Die Bundesregierung. Bericht der Bundesregierung. Zukunftsprojek- 
te der Hightech-Strategie (HTS-Aktionsplan). 2012, S. 5. Online ab- 
rufbar unter: http://www.bmbf de/pub/HTS-Aktionsplan.pdf 

304 Ygi Bundesministerium für Bildung und Forschung: IKT 2020 - 
Forschung für Innovation. 4. Juli 2011. Online abrufbar unter: http:// 
w w w. bmbf . de/de/ 9069 .php 

305 Ygl. ebd. 

Informationen zur Übungsserie LÜKEX sind online abrufbar unter: 
http s : // WWW. denis . bund . de/luekex/ 

307 Ygl. Reez, Norbert: Krisenszenario IT-Angriffe. „LÜKEX 1 1“ - eine 
Zwischenbemerkung. In: Bevölkerungsschutz, hrsg. im Auftrag des 
Bundesministerium des Innern vom Bundesamt für Bevölkerungs- 


Übung sind Bund, Länder und Betreiber Kritischer Infra- 
strukturen (KRITIS-Betreiber) beteiligt. Bisher fanden 
fünf LÜKEX-Übungen für den Krisenstab der Bundesre- 
gierung sowie die Krisenstäbe der Landesregierungen 
statt. Die letzte LÜKEX -Übung fand am 30. November 
und 1 . Dezember 2011 zum Thema Sicherheit in der Infor- 
mationstechnologie statt, wobei die Übungsvorbereitun- 
gen schon Mitte 2010 begonnen haben. 3®* 

Seit dieser Zeit wurde beim BBK gemeinsam mit dem 
BSI das Szenario eines Angriffs auf die IT-Infrastruktur 
entwickelt. Insgesamt probten ungefähr 2 500 Beteiligte 
aus zwölf Bundesländern, unter ihnen auch IT-Spezialis- 
ten, wie ein länderübergreifendes Krisenmanagement an- 
läuft, wenn ein IT-Notfall festgestellt wird, der dann eska- 
liert. Zum ersten Mal waren an einer LÜKEX-Übung 
auch das nationale Cyber-Abwehrzentrum und die Bun- 
desnetzagentur beteiligt. 

Das Übungsszenario ging von IT-Störungen durch zielge- 
richtete Angriffe aus, die IT-Schwachstellen ausnutzen. 
Simuliert wurde, wie erhebliche Beeinträchtigungen bei 
kritischen Infrastrukturen und Versorgungsengpässe im 
gesellschaftlichen Umfeld eintraten, etwa im Verkehr, in 
den Bereichen Finanzwesen und Kommunikation, aber 
auch in der öffentlichen Verwaltungen von Bund und 
Ländern. Die von der IT-Übung hauptsächlich betroffe- 
nen Bundesressorts sowie zwölf Bundesländer übten zu- 
sammen mit ausgewählten Unternehmen der kritischen 
Infrastrukturen. Darüber hinaus waren auch Verbände 
und Hilfsorganisationen an der Übung beteiligt.^®® Inwie- 
weit die Übung als Erfolg gewertet werden wird, wird 
eine Analyse nach der Durchführung ergeben. 

2 Kriminalität im Internet 

Die intensive Nutzung des Internets und der teilweise 
hohe Grad der Vernetzung wurden in anderen Berichten 
der Enquete-Kommission bereits dargestellt. Neuere 
Trends wie das Cloud Computing oder die Nutzung mo- 
biler Endgeräte verstärken die Vernetzung. ^i® Auch Straf- 
täter benutzen das Netz und seine Möglichkeiten für ihre 
Aktivifäten. Nicht nur herkömmliche Formen von Krimi- 
nalität, die sich lediglich der neuen technischen Mittel be- 
dienen, sind zu beobachten, sondern auch gänzlich neue 
Kriminalitätsformen, die ohne das Internet nicht denkbar 


schütz und Katastrophenhilfe (BBK). 4. Quartal 2011, S. 9. Online 
abrufbar unter: http://www.bbk;.bund.de/SharedDocs/Downloads/ 

BBK/DE/Publikationen/Publ_magazin/bsmag_41 1 .pdf? blob=pu 

blicationFile 

308 Yg[ Bundesamt für Bevölkerungsschutz und Katastrophenhilfe: In- 

formationen über LÜKEX. 2011. Online abrufbar unter: http://www. 
bbk.bund.de/SharedDocs/Downloads/BBK/DE/Sonstiges/Infosue 
ber_Luekex.pdf? blob=publicationFile 

309 Vgl. Bundesministerium des Innern: LÜKEX 2011: Krisenmanage- 
mentübung zu IT- Angriffen. Nachricht vom 30. November 2011. On- 
line abrufbar unter: http://www.bmi.bund.de/SharedDocs/Kurzmel 
dungen/DE/201 1/ohneMarginalspalte/l l/luekex201 1 .html 

Siehe dazu Bundesamt für Sicherheit und Informationstechnik: BSI- 
Lagebericht - Die Lage der IT-Sicherheit in Deutschland 2011. Mai 
2011, S. 6. Online abrufbar unter: https://www.bsi.bund.de/Shared 
Docs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht 
2011_nbfpdf? ^blob=publicationFile 
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wären. Die Politik sieht sich der Herausforderung gegen- 
über, zum einen für den Schutz der Betroffenen und der 
gesamten Gesellschaft zu sorgen, gleichzeitig aber die 
Offenheit des Netzes zu bewahren. 

2.1 Grundlagen 

2.1.1 Überblick und Eingrenzung des Themen- 
feldes „Kriminalität im Internet“ 

Für das Jahr 2011 weist die Polizeiliche Kriminalstatistik 
(PKS) 222 267 über das Internet begangene Straftaten 
aus. Hervorzuheben sind hier vor allem die Betrugsde- 
likte - insbesondere der Warenbetrug mit 28,3 Prozent - 
die mit insgesamt 75,5 Prozent den größten Anteil ausma- 
chen.3'2 pijie steigende Tendenz ist im Bereich des Aus- 
spähens und Abfangens von Daten zu erkennen. Die 
Aufklärungsquote bei Straftaten unter Einsatz des Tatmit- 
tels Internet lag 2011 bei 65,1 Prozent. 

Eine allgemeine Definition des Begriffs „Kriminalität im 
Internet“ ist aufgrund der Uferlosigkeit möglicher Er- 
scheinungsformen schwierig. 315 Denn oftmals ist das In- 
ternet nur (ein weiteres) Mittel zum Zweck, etwa beim 
Betrug gemäß § 263 des Strafgesetzbuches (StGB). Da- 
her ist die genannte Zahl der PKS unter dem dort gewähl- 
ten Schlagwort „Internet als Tatmittel“ mit der gebotenen 
Vorsicht zu betrachten.^i^ 

Zur Eingrenzung des Diskussionsgegenstandes bedarf es 
einer Konkretisierung des Themenfeldes. Hier kommt ins- 
besondere die von der PKS gesondert erfasste „luK-Krimi- 
nalität im engeren Sinne“ als Teil der genannten Straftaten 
in Betracht. Dieser Begriff erfasst Computerbetrug, Be- 
trug mit Zugangsberechtigungen zu Kommunikations- 
diensten, Datenfälschung, Täuschung im Rechfsverkehr 
bei Datenverarbeitungen, Datenveränderung/Computersa- 
botage sowie das Ausspähen beziehungsweise Abfangen 


Vgl. Bundesministerium des Innern: Polizeiliche Kriminalstatistik 
2011. April 2012, S. 7. Online abrufbar unter: http://www.bmi. 
bund.de/SharedDocs/Downloads/DE/Broschueren/2012/PKS2011. 

pdf? blob=publicationFile 

Vgl. ebd. 

313 Vgl. ebd. 

314 Vgl. Polizeiliche Kriminalprävention der Länder und des Bundes: 
Abbildung: Tatmittel Internet in Deutschland, basierend auf der Poli- 
zeilichen Kriminalstatistik 2011. Online abrufbar unter: http://www. 
polizei-beratung.de/datenbanken/infografiken/download/KP_2012_ 
export_Intemet.jpg und siehe hierzu auch Bundeskriminalamt: Cy- 
bercrime Bundeslagebild 2011. 2012. Online abrufbar unter: http:// 
www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikationen/ 
JahresberichteUndLagebilder/Cybercrime/cybercrime201 ftemplate 
Id=raw,property=publicationFile.pdf/cybercrime20 1 1 .pdf 

3'3 Vgl. Gercke, Marco in: Gercke, Marco/Brunst, Phillip W.: Praxis- 
handbuch Intemetstrafrecht. 2009, Rn. 73; Kshetri, Nir: The Global 
Cybercrime Industry. 2010, S. 3 f 

3'6 Siehe Franosch, Rainer: Schriftliche Stellungnahme, vorgelegt im 
Rahmen des nicht öffentlichen Expertengespräches „Intemetkrimina- 
lität“ der Projektgruppe Zugang, Struktur und Sicherheit im Netz der 
Enquete-Kommission Internet und digitale Gesellchaft des Deutschen 
Bundestages vom 5. März 2012, S. 11, der daraufhinweist, dass aus 
diesem Grund für das Jahr 2010 auch 31 Fälle des „Diebstahls von 
Fahrrädern unter erschwerenden Umständen“ unter dem genannten 
Punkt erfasst wurden. Online abrufbar unter: http://www.bundestag. 
de/intemetenquete/dokumentation/Zugang_Struktur_und_Sicherheit_ 
im_Netz/PGZuStrSi_20 12-03-05_Stellungnahme_OStA_Franosch.pdf 


von Daten, fn diesem Bereich wurden für das Jahr 2011 
insgesamt 59 494 Fälle verzeichnet.^'^ Laut dem Cyber- 
crime Bundeslagebild 2010, in welchem die gleichen 
Straftaten unter dem Begriff „Cybercrime“ erfasst werden, 
nennt das Bundeskriminalamt (BKA) einen registrierten 
Gesamtschaden von 61,5 Mio. Euro, was einem Anstieg 
von 24,6 Mio. Euro oder 66,9 Prozent im Vergleich zum 
Jahr 2009 entspricht. 3'* Zusätzlich ist aber von einer hohen 
Dunkelziffer auszugehen.3'9 

2.1.2 Arbeitsdefinition 

Für diesen Bericht wird im Weiteren folgende Definition 
zugrunde gelegt: 

„Kriminalität im Internet“ im Rahmen dieses Berichts 
meint die Begehung von Straftaten, welche nicht der Spi- 
onage oder Sabotage zuzuordnen sind, und die entweder 
ausschließlich im Internet möglich sind oder aber bei de- 
nen der Einsatz von Intemettechnik zumindest wesentlich 
für die Tafausführung ist. 

2.1.3 IT-Sicherheit 

Mit dem Begriff der Intemetkriminalität einher geht der 
davon zu unterscheidende Begriff der IT-Sicherheit. Der 


31'^ Vgl. Bundesministerium des Innern: Polizeiliche Kriminalstatistik 
2011. April 2012, S. 7 f Online abmfbar unter: http://www.bmi. 
bund.de/SharedDocs/Downloads/DE/Broschueren/20 12/PKS20 1 1 . 
pdf? blob=publicationFile 

318 Vgl. Bundeskriminalamt: Cybercrime Bundeslagebild 2010. 2011, 
S. 6. Online abrufbar unter: http://www.bka.de/nn_224082/Shared 
Docs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/ 
Cybercrime/cybercrime2010,templateld=raw,property=publication- 
File.pdf/cybercrime2010.pdf. Die Schadenssumme wird allerdings 
nur bei den Delikten Computerbetrug und Betrug mit Zugangsbe- 
rechtigungen zu Kommunikationsdiensten erfasst. Vgl. Franosch, 
Rainer: Schriftliche Stellungnahme, vorgelegt im Rahmen des nicht 
öffentlichen Expertengespräches „Intemetkriminalität“ der Projekt- 
gmppe Zugang, Struktur und Sicherheit im Netz der Enquete-Kom- 
mission Internet und digitale Gesellchaft des Deutschen Bundestages 
vom 5. März 2012, S. 13. Online abmfbar unter: http://www.bundes 
tag.de/interaetenquete/dokumentation/Zugang_Struktur_und_Sicher 
heit_im_Netz/PGZuStrSi_2012-03-05/PGZuStrSi_2012-03-05_Stel 
lungnahme_OStA_Franosch.pdf. Im Bereich der Polizeibehörden 
wird von „luK-Kriminalität“ gesprochen, die nicht deckungsgleich 
sein muss mit dem Begriff Intemetkriminalität, wie er im Bereich der 
Strafrechtswissenschaft gebraucht wird. Vgl. Förster, Christian, In- 
teraetkriminalität. Polizeiliche Maßnahmen der Repression und Prä- 
vention. In: Intemationalisiemng des Strafrechts. Fortschritt oder 
Verlust an Rechtsstaatlichkeit? 27. Strafverteidigertag Dresden 
14.-16. März 2003. Schriftenreihe der Strafverteidigervereinigungen 
Band 27. Berlin 2004, S. 178. Siehe weiter: Walter, Gregor: Interaet- 
kriminalität. Eine Schattenseite der Globalisierung. SWP-Studie, 
Stiftung Wissenschaft und Politik, Deutsches Institut für Internatio- 
nale Politik und Sicherheit. Juni 2008, S. 19. Online abmfbar unter: 
http://www.swp-berlin.org/fileadmin/contents/products/studien/2008 
_S 16_walter_ks.pdf 

319 Vgl. Bundeskriminalamt: Cybercrime Bundeslagebild 2010. 2011, 
S. 7. Online abmfbar unter: http://www.bka.de/nn_224082/Shared- 
Docs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cy 
bercrime/cybercrime2010,templateId=raw,property=publicationFile. 
pdf/cybercrime2010.pdf. Siehe auch: Walter, Gregor: Interaetkrimi- 
nalität. Eine Schattenseite der Globalisiemng. SWP-Studie, Stiftung 
Wissenschaft und Politik, Deutsches Institut für Internationale Politik 
und Sicherheit. Juni 2008, S. 12. Online abmfbar unter: http:// 
www.swp-berlin.org/fileadmin/contents/products/studien/2008_S 1 6_ 
walter_ks.pdf 
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Ausgangspunkt jeder Überlegung und Planung eines si- 
cheren IT-Systems ist die Definition von Schutzzielen. 
Die folgende Einteilung hat sich durchgesetzt und ist be- 
reits seit vielen Jahren anerkannti^^o 

- Integrität ist gegeben, wenn Daten hinsichtlich Kor- 
rektheit und Vollständigkeit vor unberechtigter und 
unbemerkter Manipulation geschützt sind.^^i 

- Der Begriff der Vertraulichkeit ist eng mit dem Be- 
griff der Integrität verbunden. Er ist komplementär 
zum Schutz vor Veränderung von Daten als Schutz vor 
Zugriff auf Daten durch nicht autorisierte Personen zu 

verstehen. 322 

- Verfügbarkeit bedeutet, dass ein IT-System zum er- 
warteten Zeitpunkt mit den erforderlichen Daten und 
Funktionen der berechtigten Anwenderin beziehungs- 
weise dem berechtigten Anwender zur Verfügung 
steht. 323 

- Die Eigenschaft der Authentizität liegt vor, wenn die 
Identität einer Nutzerin beziehungsweise eines Nut- 
zers eindeutig und zweifelsfrei bestätigt werden kann. 
Dies kann beispielsweise durch die Eingabe eines Be- 
nutzemamens und des dazugehörigen Passworts erfol- 
gen. 324 

2.1.4 Motivation der Täter 

Im Bereich der Intemetkriminalität handeln die Täter oft 
aus reiner Freude an der Beschäftigung mit der Technik, 
um ein als sicher geltendes System zu überwinden.325 So 
ist es möglich, dass „these hackers often don’t have any 


320 Vgl. hierzu Tanenbaum, Andrew S.: Moderne Betriebssysteme. 
3., aktualisierte Auflage 2009, S. 712; Tipton, Harold F./Krause, 
Micki (Hrsg.): Information Security Management Handbook. 6. Auf- 
lage 2007, S. 2409; Sonntag, Matthias: IT-Sicherheit kritischer Infra- 
strukturen: Von der Staatsaufgabe zur rechtlichen Ausgestaltung. 
2005, S. 53 f. Oftmals werden auch nur Integrität, Vertraulichkeit 
und Verfügbarkeit genannt. Siehe hierzu Gercke, Marco/Brunst, 
Phillip W. in: Gercke, Marco/Brunst, Phillip W.: Praxishandbuch In- 
temetstrafrecht. 2009, S. 2; Gaycken, Sandro: Cyberwar: Das Inter- 
net als Kriegsschauplatz. 2011, S. 124 (Fn. 1) m. w. N.; Blattner- 
Zimmermann, Marit: Die sicherheitspolitische Dimension neuer In- 
formationstechnologien. 2001, S. 8, 16. Die genannten Kriterien sind 
auch in zahlreichen IT-Sicherheitsstandards verankert, so beispiels- 
weise in den Common Criteria for Information Technology Security 
Evaluation (inzwischen zum ISO-Standard 15408 erhoben); ebenso 
im ISO-Standard 27001 zu den Anforderungen an Informations- 
sicherheits-Managementsysteme sowie im BSI-Standard 100-1 zum 
IT-Grundschutz; dementsprechend auch §2 Absatz 2 BSIG: „[...] 
Verfügbarkeit, Unversehrtheit oder Vertraulichkeit [...]“; auch die 
Cybercrime Convention des Europarates basiert ausweislich ihrer 
Präambel auf den Sicherheitszielen „Vertraulichkeit, Unversehrtheit 
und Verfügbarkeit von Computersystemen“. 

Vgl. Eckert, Claudia: IT-Sicherheit: Konzepte - Verfahren - Proto- 
kolle. 7., überarbeitete und erweiterte Auflage 2012, S. 9. 

322 Vgl. ebd., S. 10. 

323 Vgl. Brenner, Michael et al.: Praxisbuch ISO/IEC 27001. Manage- 
ment der Informationssicherheit und Vorbereitung auf die Zertifizie- 
rung. 2011, S. 4. 

324 Vgl. ebd.,S.4. 

325 Siehe nur Chung, Chin-Wan et. al.: Web Communication Technolo- 
gies and Intemet-Related Social Issues - HSI 2003: Second Interna- 
tional Conference on Human.Societey@Intemet, Seoul, Korea, June 
18-20, 2003, Proceedings, 2003, S. 178 f 


malicious intent and are unaware that their actions violate 
Security policy or criminal Codes“. 326 Aber auch Anerken- 
nung in einer Hacker-Community327 ist ein gängiges Mo- 
tiv. Dabei sei aber bereits an dieser Stelle betont, dass 
Hacker häufig auch rein legale Ziele verfolgen und nicht 
grundsätzlich mit Intemetkriminellen gleichzustellen 
sind.328 

Keine Besonderheit der Intemetkriminalität, sondern 
vielmehr ein Charakteristikum von Kriminalität an sich, 
ist vorrangig die vom Motiv der finanziellen Bereiche- 
rung geleitete Tatbegehung. Gerade das Streben nach fi- 
nanziellen Vorteilen ist unabhängig von technologischen 
Weiterentwicklungen beziehungsweise Verändemngen 
und bleibt vorherrschender Antrieb im Bereich der Inter- 
netkriminalität. Die Statistiken weisen darauf hin, dass 
die Zahl der Angriffe, die in Zusammenhang mit der Ver- 
folgung eines monetären Ziels stehen, stetig zunimmt und 
sich die Vorgehensweisen der Täter weiter professionali- 
sieren. 32? Daneben spielen aber auch ideologische oder 
politische Motive eine Rolle. 

2.1.5 Bedrohungen 

Die beiden oben dargelegten Motivationslinien spiegeln 
sich auch in den Bedrohungsarten wider, denen IT- Sys- 
teme durch kriminelle Handlungen im Wesentlichen aus- 
gesetzt sind. Für die Täter stellt sich je nach dem Motiv 
ihrer Handlung die Frage nach dem wirkungsvollsten 
Weg zur Erreichung ihres Ziels. Die so entstehenden Be- 
drohungen sind äußerst vielfältig. 

Folgende Bedrohungen werden dabei von Sicherheits- 
experten sowohl aus der Privatwirtschaft33o als auch sei- 
tens des Bundesamtes für Sicherheit in der Informations- 
technik (BSI)33i als besonders relevant angesehen: 

2. 1.5.1 Botnetze 

Ein Botnetz besteht aus einer großen Anzahl von mitei- 
nander vernetzten Computern, die mit einer Schadsoft- 
ware (englisch: Malware) infiziert wurden.332 Diese 


326 Glenn, Walter/Lowe, Scott/Maher, Joshua: Microsoft Exchange Ser- 
ver 2007. Administrator‘s Companion. Kapitel 19: Motivations of a 
Criminal Hacker. Online abrufbar unter: http://technet.microsoft. 
com/en-us/library/cc505924.aspx 

327 Vgl. Taylor, Paul: Hackers: Crime and the Digital Sublime. 1999, 
S. 45 ff. 

328 Siehe dazu unten Kapitel 2/3.3. 1; siehe außerdem die beispielsweise 
vom Chaos Computer Club (CCC) bereitgestellte Hackerethik. On- 
line abrufbar unter: http://www.ccc.de/ha ckerethics 

329 Vgl. Kshetri, Nir: The Global Cybercrime Industry. 2010, S. 23 
m. w. N. 

330 Hier werden insbesondere verschiedene Studien, unter anderem von 
IBM, dem Antivirenhersteller McAfee, der Wirtschaftsberatungsfir- 
ma KPMG und anderen, herangezogen. Alle diese Studien entspre- 
chen nicht den Anforderungen an eine wissenschaftliche Aufarbei- 
tung des Themas. Sie bieten jedoch einen guten Überblick. 

331 Siehe hierzu Bundesamtes für Sicherheit in der Informationstechnik: 

BSI-Lagebericht - Die Lage der IT-Sicherheit in Deutschland 2011. 
Mai 2011. Online abrufbar unter: https://www.bsi.bund.de/Shared 
Docs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht 
2011_nbfpdf? ^blob=publicationFile 

332 Siehe dazu auch Walter, Gregor: Intemetkriminalität. Eine Schatten- 
seite der Globalisierung. SWP-Studie, Stiftung Wissenschaft und 
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Schadsoftware ermöglicht es einem Täter, die Computer 
femzusteuem und für einen Distributed Denial of Ser- 
vice-Angriff (DDoS-Angriff)^^^ oder auch nur für den 
Versand von Spam zu nutzen.^^'* Der Aufbau eines Bot- 
netzes findet zumeist ungerichtet statt. Ziel der Täter ist 
es, eine möglichst große Anzahl an Rechnern in das Bot- 
netz einzubinden. 335 Hierbei bedienen sie sich verschie- 
denster Methoden, um die Rechner mit Schadsoftware zu 
infizieren. 336 Wer der Besitzer des kompromittierten Sys- 
tems ist, ist für den Täter nicht weiter von Bedeutung. 

Die Kontrolle über ein ausreichend großes Botnetz eröff- 
net dem Täter vielfältige Möglichkeiten: So wurden 
Botnetze beispielsweise als Drohungsmittel für Erpres- 
sungen337 genutzt, um Vergeltung auszuüben oder um 
Wettbewerbsvorteile zu erlangen338, Angesichts der mas- 
siven Schäden, die ein DDoS-Angriff für ein Unternehmen 
bedeuten kann, genügt in der Regel schon die Androhung 
eines entsprechenden Angriffs, um ein Unternehmen zur 
Zahlung eine Schutzgeldes zu bewegen.339 Botnetze kön- 
nen auch stunden- oder tageweise3''6 an Dritte vermietet 
werden, die diese ohne eigene technische Kenntnisse zum 
Spamversand oder für die genannten DDoS-Angriffe nut- 
zen. Hieraus hat sich inzwischen ein eigenes Geschäfts- 


Politik, Deutsches Institut für Internationale Politik und Sicher- 
heit. Juni 2008, S. 21, der auf eine Zahl aus dem Jahr 2007 verweist, 
wonach angeblich elf Prozent aller mit dem Internet verbundenen 
Computer mit Botnetz-Malware infiziert sein sollen. Online abrulbar 
unter: http://www.swp-berlin.org/fileadmin/contents/products/studien/ 
2008_S 1 6_walter ks.pdf 

Ein Angriff, bei dem mittels einer Vielzahl von einzelnen Compu- 
tern, die oft in ein Botnetz eingebunden sind, ein einzelnes Compu- 
tersystem, in der Regel ein Server im Internet, so lange mit Anfrage 
überhäuft wird, bis dieser neue Anfragen nicht mehr beantworten 
kann. Vgl. Tipton, Harold F./Krause, Micki (Hrsg.): Information 
Security Management Handbook. 6. Auflage 2007, S. 2253; siehe 
weiter Walter, Gregor: Intemetkriminalität. Eine Schattenseite der 
Globalisierung. SWP-Studie, Stiftung Wissenschaft und Politik, 
Deutsches Institut für Internationale Politik und Sicherheit. Juni 

2008, S. 20. Online abrufbar unter: http://www.swp-berlin.org/filead 
min/contents/products/studien/2008_S 16_walter_ks.pdf; näher zu dem 
Thema unten Kapitel 2/2. 1.5.4. 

334 Ygi pfleeger, Charles P./Pfleeger, Shari Lawrence: Analyzing Com- 
puter Security: A ThreatWulnerability/Countermeasure Approach. 
2011, S. 638 f 

Siehe dazu auch Kshetri, Nir: The Global Cybercrime Industry. 2010, 
S. 2. Dieser weist auf eine Schätzung hin, nach der etwa 10 Millio- 
nen Computer täglich übernommen und zu einem Bestandteil eines 
Botnetzes gemacht werden. 

Zu diesen sogleich Kapitel 2/2. 1 .6 und 2. 1 .7. 

337 Ygi Yacca, John R.: Computer and Information Security Handbook. 

2009, S. 124. 

338 Ygi. Bundesamt für Sicherheit und Informationstechnik: BSI-Lage- 

bericht - Die Lage der IT-Sicherheit in Deutschland 2011. Mai 2011, 
S. 15. Online abrufbar unter: https://www.bsi.bund.de/SharedDocs/ 
Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht20 1 1 _ 
nbf.pdf? blob=publicationFile 

Siehe das Beispiel bei Brauch, Patrick: Geld oder Netz! Kriminelle 
erpressen Online- Wettbüros mit DDoS-Attacken. In: c't - Magazin 
für Computertechnik, 2004, Heft 14, S. 48. Online abrufbar unter: 
http://heise.de/-289426 sowie Eikenberg, Roland: HTC bestätigt Si- 
cherheitsleck in Android-Smartphones. heise online, 4. Oktober 
2011. Online abrufbar unter: http://heise.de/-1353977 
340 Vgl. Bundeskriminalamt: Cybercrime Bundeslagebild 2010. 2011, 
S. 7. Online abrufbar unter: http://www.bka.de/nn_224082/Shared 
Docs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cy 
bercrime/cybercrime2010,templateId=raw,property=publicationFile. 
pdf/cybercrime20 1 0.pdf 


modell entwickelt. 341 Der Kunde benötigt so kaum noch 
eigenes vertieftes Wissen über die technischen Zusam- 
menhänge. 

Ein drittes Geschäftsmodell beim Betrieb eines Botnetzes 
ist der sogenannte Click Fraud. Die ferngesteuerten Com- 
puter (die Bots) werden genutzt, um massenhaft und an- 
dauernd Werbebanner anzuklicken, an deren Umsätzen 
der Angreifer verdient. 342 Auch die Übernahme, das so 
genannte „Hijacking“, eines Botnetzes ist möglich. 343 

Ein bereits angesprochener, weiterer Einsatzzweck im 
Bereich der Botnetze ist der Spamversand.344 Hierbei ist 
der Versand von Spam zum einen das Geschäftsmodell 
selbst, da sich trotz der niedrigen Conversion Rate345 
durch Umsatzbeteiligung an den so verkauften Produkten 
weiterhin erhebliche Gewinne erzielen lassen.346 Zum an- 
deren dienen die versandten E-Mails auch dazu, weitere 
Rechner zu infizieren und dadurch zu einem Bestandteil 
des Botnetzes zu machen. 

Der BSI-Lagebericht 2011 stellt zudem fest, dass „im Jahr 
2010 zunehmend ein weiterer Trend auflrat: Beim so ge- 
nannten Hacktivismus, einer Mischform von Hacking 
und Aktivismus, stellen Internet-Nutzer ihre PCs freiwil- 
lig zur Verfügung, um Angriffe, beispielweise DDoS-An- 
griffe, auf Unternehmen durchzuführen. Auf diese Weise 
kann sich ebenfalls ein Botnetz bilden“. 347 

2.1. 5.2 Identitätsdiebstahl und -missbrauch 

Angriffe auf eine fremde Identität versetzen Angreifer in 
die Lage, sich im Internet oder innerhalb eines IT-Sys- 
tems als die Person auszugeben, deren Identität sie über- 
nehmen konnten. Die Identität lässt sich auf verschiedene 
Weise für den Täter nutzen. Eine der direktesten Formen 
ist etwa der Zugriff auf das Onlinebanking der Nutzerin- 
nen und Nutzer. Die Täter finden dabei trotz sicherheits- 


Vgl. Walter, Gregor: Intemetkriminalität. Eine Schattenseite der Glo- 
balisiemng. SWP-Studie, Stiftung Wissenschaft und Politik, Deut- 
sches Institut für Internationale Politik und Sicherheit. Juni 2008, 
S. 21. Online abmfbar unter: http://www.swp-berlin.org/fileadmin/ 
contents/products/studien/2008_S 1 6_walter_ks.pdf 

342 Ygi. Vacca, John R.: Computer and Information Security Handbook. 
2009, S. 124. 

2009 wurde beispielsweise das Torping-Botnetz für mehrere Tage 
von Forschem übernommen und in dieser Zeit beobachtet. Vgl. 
Stone-Gross, Brett et al.: Your Botnet is My Botnet: Analysis of a 
Botnet Takeover. November 2009. Online abmfbar unter: http://sec 
lab.cs.ucsb.edu/media/uploads/papers/torpig.pdf 

344 Ygi. Vacca, John R.: Computer and Information Security Handbook. 
2009, S. 124; o. V: AS40989 RBN AS RBusiness Network - Cla- 
rifying the „guesswork“ of Criminal Activity. The Shadowserver 
Foundation, Januar 2008, S. 4. Online abmfbar unter: http://www. 
shadowserver.org/wiki/uploads/Information/RBN-AS40989.pdf 
Die Studie von Kanich et al. legt nahe, dass eine „conversion rate of 
well under 0.00001%“ vorliegt, also mehr als einhunderttausend 
Spam-Mails für einen aus Sicht der Spammer erfolgreichen Ab- 
schluss nötig sind. Kanich, Chris et al.: Spamalytics: An Empirical 
Analysis of Spam Marketing Conversion. 2008, S. 11. 

^46 Eingehend: Ebd. 

347 Ygi. Bundesamt für Sicherheit und Informationstechnik: BSI-Lage- 
bericht - Die Lage der IT-Sicherheit in Deutschland 2011. Mai 2011, 
S. 15. Online abmfbar unter: https://www.bsi.bund.de/SharedDocs/ 
Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht20 1 1_ 
nbf.pdf? blob=publicationFile 
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technologischer Weiterentwicklungen immer wieder neue 
Wege zur Umgehung der Sicherheitsmechanismen. Zur 
Weiterleitung der unrechtmäßig erlangten Gelder ins 
Ausland werden so genannte Finanzagenten eingesetzt. 
Diese Personen werden wiederum durch Spam angewor- 
ben.^'** Auch im Bereich des Warenbetrugs spielt der 
Identitätsdiebstahl eine zentrale Rolle. Zur Abholung und 
Weiterleitung der unter falscher Identität bestellten Waren 
werden wiederum so genannte „Warenagenten“ einge- 

setzt.3« 

Ein weiteres Feld im Bereich des Identitätsmissbrauchs 
ist der Missbrauch von Zahlungskarten. Nach Einschät- 
zung des BKA hat sich hier mit dem Carding in den letz- 
ten Jahren eine neue Methode etabliert, bei der Waren un- 
ter fremder Identität gekauft und sodann von den Tätern 
wieder verkauft werden. Auch hier kommen oftmals 
„Agenten“ zum Einsatz, die für die Täter die Ware abho- 
len oder weiterversenden. 

2. 1.5.3 Spam 

Von den sonstigen Bedrohungen grundsätzlich zu unter- 
scheiden sind solche Handlungen, die zwar als sozial- 
schädlich betrachtet werden, aber mangels des dafür er- 
forderlichen besonderen Unrechtsgehaltes nicht ohne 
Weiteres als Straftaten im juristischen Sinne und damit 
als Intemetkriminalität charakterisiert werden können. 
Dies sind namentlich Ordnungswidrigkeiten und bloße 
Belästigungen, wie beispielsweise unerwünschte Wer- 
bung im Internet und bestimmte Formen unverlangt zuge- 
stellter E-Mails. Das damit angesprochene Versenden von 
Spam ist zwar nicht ohne Weiteres unmittelbar als Straftat 
anzusehen, stellt aber etwa mit werblichem Inhalt eine 
Ordnungswidrigkeit nach §§ 6 Absatz 2, 16 Absatz 1 des 


Beschrieben etwa hier: Bundesamt für Sicherheit und Informations- 
technik: BSI-Lagebericht - Die Lage der IT-Sicherheit in Deutsch- 
land 2011. Mai 2011, S. 23. Online abrufbar unter: https://www.bsi. 
bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte 

/Lagebericht20 1 Inbf pdf? ^blob=publicationFile. 

Siehe etwa die Warnung des BSI hier: o. V.: BKA: Neue Methode der 
Intemetkriminalität. In: Fachdienst Strafrecht (FD-StrafR) - Neuig- 
keiten zum Straffecht von Knierim & Kollegen Rechtsanwälte in Zu- 
sammenarbeit mit beck-online.DIE DATENBANK. 271131, Ausga- 
be 25/2008 vom 27. November 2008. Online abmfbar unter: http:// 
beck-online.beck.de/Default.aspx?vpath=bibdata/zeits/FDStrafR/2008 
/Y-300.Z-FDStrafR.B-2008. H-25.htm; weitere Beispiele: Bundeskri- 
minalamt: Cybercrime Bundeslagebild 2010. 2011, S. 10 ff. Online 
abmfbar unter: http://www.bka.de/nn_224082/SharedDocs/Downloads 
/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cyber 
crime2010,templateId=raw,property=publicationFile.pdf/cybercrime 
2010.pdf 

Der Begriff Carding wird im betreffenden Bericht für eine Methode 
verwendet, nach der mithilfe ausgespähter oder gestohlener Kreditkar- 
ten zunächst online Waren gekauft werden, die dann von den Tätern 
über andere Online-Shops oder Plattformen wie eBay weiterverkauft 
werden. Siehe Bundeskriminalamt: Cybercrime Bundeslagebild 
2010. 2011, S. 12. Online abmfbar unter: http://www.bka.de/nn_ 
224082/SharedDocs/Downloads/DE/Publikationen/Jahresberichte 
UndLagebilder/Cybercrime/cybercrime2010,templateId=raw, proper 
ty=publicationFile.pdf/cybercrime2010.pdf. Der Begriff wird teil- 
weise aber auch so verstanden, dass Carding den Vorgang beschreibt, 
wenn der Dieb einer Kreditkarte durch die Abbuchung kleinerer und 
damit unauffälliger Beträge kontrolliert, ob die entwendete Karte be- 
reits gesperrt oder noch nutzbar ist. 


Telemediengesetzes (TMG)^^’ dar, wenn der kommerzi- 
elle Charakter oder der Absender verschleiert oder ver- 
heimlicht wird. 

Daneben stellt Spam auch eine unzumutbare Belästigung 
nach § 7 Absatz 3 Nummer 3 und 4 des Gesetzes gegen 
den unlauteren Wettbewerb (UWG)^^^ dar und kann damit 
zu einem wettbewerbsrechtlichen Unterlassungsanspruch 
führen. Ein solcher Unterlassungsanspruch nach §§ 823, 
1004 des Bürgerlichen Gesetzbuches (BGB)^^^ analog 
kann sich aus einer Verletzung des allgemeinen Persön- 
lichkeitsrechts^^'* oder dem Eingriff in das Recht am ein- 
gerichteten und ausgeübten Gewerbebetrieb^^s ergeben. 
Parallel können Schadensersatzansprüche nach § 823 Ab- 
satz 1 BGB entstehen. Der Durchsetzung derartiger zivil- 
rechtlicher Ansprüche stehen aber oft praktische Gründe 
entgegen, da die Verfolgung langwierig, teuer und oft er- 
folglos ist.35'5 

Größere Bedeutung hat Spam allerdings als Vorberei- 
tungshandlung für andere Formen der Intemetkriminali- 
tät. Spam wird genutzt, um Phishing einzuleiten, um Per- 
sonen für den Warenbetmg anzuwerben^^^ oder um 
weitere PC-Infektionen herbeizuführen. In diesen Fäl- 
len nimmt Spam also eine vorbereitende Funktion für an- 
dere Angriffsformen ein und entfaltet damit eine mittel- 
bare Bedrohungswirkung. 359 

Insofern war und ist Spam weiterhin die zahlenmäßig 
häufigste Angriffsform. 360 Durch die enorme Rechen- 
und Sendeleistung, die den Versendern mittlerweile zur 


^51 Telemediengesetz vom 26. Februar 2007 (BGBl. I S. 179), zuletzt 
geändert durch Artikel 1 des Gesetzes vom 31. Mai 2010 (BGBl. I 
S. 692). 

352 Gesetz gegen den unlauteren Wettbewerb in der Fassung der Be- 
kanntmachung vom 3. März 2010 (BGBl. I S. 254). 

353 Bürgerliches Gesetzbuch in der Fassung der Bekanntmachung vom 
2. Januar 2002 (BGBl. I S. 42, 2909; 2003 I S. 738), zuletzt geändert 
durch Artikel 1 des Gesetzes vom 10. Mai 2012 (BGBl. I S. 1084). 

35't Landgericht Berlin, Beschluss vom 14. Mai 1998 - 16 0 301/98. In: 
Neue Juristische Wochenschrift (NJW), 1998, S. 3208. 

355 Landgericht Berlin, Urteil vom 16. Mai 2002 - 16 O 4/02. In; Neue 
Juristische Wochenschrift (NJW), 2002, S. 2569, 2570. 

356 Vgl. Conrad, Isabell in; Auer-Reinsdorff, Astrid/Conrad, Isabell 
(Hrsg.): Beck’sches Mandatshandbuch IT-Recht. 2011, § 25 Rn. 250. 

357 Vgl. Bundesamt für Sicherheit in der Informationstechnik: BSI-La- 

gebericht - Die Lage der IT-Sicherheit in Deutschland 2011. Mai 
2011, S. 20. Online abrufbar unter: https://www.bsi.bund.de/Shared- 
Docs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht 
201 1_ nbf.pdf? blob=pubhcationFile. Siehe auch die Ausführun- 

gen in Kapitel 2/2. 1.5.2. 

358 Viren können mittels Dateianhängen über E-Mails verteilt werden. 
Hierzu werden dieselben Techniken wie beim Spamversand genutzt. 
Viren können so in großer Zahl verteilt werden. Zum Ganzen: 
Kurose, James F./Ross, Keith W.: Computemetzwerke: Der Top- 
Down-Ansatz. 4., aktualisierte Auflage 2008, S. 78. 

359 Vgl. Bundesamt für Sicherheit in der Informationstechnik: BSI-La- 

gebericht - Die Lage der IT-Sicherheit in Deutschland 2011. Mai 
2011, S. 20. Online abrufbar unter: https://www.bsi.bund.de/Shared- 
Docs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht 
201 1_ nbfpdf? blob=pubhcationFiIe 

3“ Siehe dazu Kshetri, Nir: The Global Cybercrime Industry. 2010, S. 5, 
wo auf eine Schätzung von 200 Milliarden Spammails täglich und 
auf einen Spananteil von 87 bis 90 Prozent bei allen E-Mails für das 
Jahr 2009 hingewiesen wird. 
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Verfügung steht, sind Spamwellen erheblichen Ausmaßes 
zu beobachten.3^' 

2.1 .5.4 Professionalisierung/Organisierte 
Internetkriminalität 

Zudem ist eine Tendenz zur Professionalisierung bei der 
Begehung von Straftaten aus dem Bereich der Intemetkri- 
minalität zu beobachten. 

Diese Entwicklung zeigt sich am Beispiel der groß ange- 
legten DDoS-Angriffe auf die Websites von bedeutenden 
Wirtschaftsuntemehmen. Derartige Angriffe werden re- 
gelmäßig mit Hilfe großer Botnetze durchgeführt. 362 Zu- 
dem „sind Cyberkriminelle auf Server-Standorte angewie- 
sen, die vor dem Zugriff der [hiesigen] Polizei geschützt 
sind“363. Eine der bekanntesten Adressen war das zwischen- 
zeitlich inaktive Russian Business Network (RBN).364 Dem 
russischen Intemet-Service-Provider (ISP) und Webhos- 
ter wird von verschiedenen Seiten vorgeworfen,^®^ Be- 
treiber eines der weltweit größten Botnetze gewesen zu 
sein und zudem andere Formen der Intemetkriminalität 
selbst zu betreiben oder zu ermöglichen. 3^6 

Die zunehmend konzertierte Art von Angriffen deutet da- 
rauf hin, dass es eine Reihe von gut organisierten Grup- 
pen gibt, die kriminelle Handlungen vornehmen und auch 
entsprechende „Dienstleistungen“ anbieten.367 wie weit 
diese „Underground Economy“368^ gerade auch die Struk- 


Siehe die aufschlussreiche Grafik bei: Bundesamtes für Sicherheit in 
der Informationstechnik: BSI-Lagebericht - Die Lage der IT-Sicher- 
heit in Deutschland 2011. Mai 2011, S. 20. Online abrufbar unter: 
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikatio 

nen/Lageberichte/Lagebericht20 1 Inbf pdf? blob=publicationFile; 

weiter dazu Walter, Gregor: Intemetkriminalität. Eine Schattenseite 
der Globalisiemng. SWP-Studie, Stiftung Wissenschaft und Politik, 
Deutsches Institut für Internationale Politik und Sicherheit. Juni 
2008, S. 20. Online abmfbar unter: http://www.swp-berlin.org/filead 
min/contents/products/studien/2008_S 1 6_walter_ks.pdf 
362 Vgl. Kurose, James F./Ross, Keith W.: Computemetzwerke: Der 
Top-Down-Ansatz.4., aktualisierte Auflage 2008, S. 78; Tipton, 
Harold F./Krause, Micki (Hrsg.): Information Security Management 
Handbook. 6. Auflage 2007, S. 952. 

Bundesamt für Sicherheit in der Informationstechnik: Quartalslage- 
bericht 4/2010, S. 20. 

Zum Russian Business Network und deren Methoden siehe auch 
Kshetri, Nir: The Global Cybercrime Industry. 2010, S. 13. 

So erhob etwa VeriSign entsprechende Anschuldigungen. Vgl. o. V.: 
Europe.view. A walk on the dark side. These badhats may have 
bought your bank account. The Economist, 30. August 2007. Online 
abmfbar unter: http://www.economist.com/node/9723768?story_id= 
9723768 

Siehe etwa die Berichte von Krebs, Brian: Shadowy Russian Firm 
Seen as Conduit for Cybercrime. 13. Oktober 2007. Online abmfbar 
unter: http://www.washingtonpost.com/wp-dyn/content/article/2007/ 
10/12/AR2007101202461.html; o. V.: AS40989 RBN AS RBusiness 
Network - Clarifying the „guesswork“ of Criminal Activity. The 
Shadowserver Foundation, Januar 2008. Online abmfbar unter: http:// 
www.shadowserver.org/wiki/uploads/Information/RBN-AS40989.pdf 
367 Vgl. Bundeskriminalamt: Cybercrime Bundeslagebild 2010. 2011, 
S. 7. Online abmfbar unter: http://www.bka.de/nn_224082/Shared 
Docs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/ 
Cybercrime/cybercrime20 1 0,templateld=raw,property=publication 
File.pdf/cybercrime2010.pdf; siehe auch Kshetri, Nir: The Global 
Cybercrime Industry. 2010, S. 1, 14. 

Das heißt ein globaler, virtueller Marktplatz, über den kriminelle An- 
bieter und Nachfrager ihre Geschäfte abwickeln, die sich um die di- 


turen der organisierten Intemetkriminalität, aber genau 
gediehen ist, ist bislang nicht eindeutig empirisch geklärt. 

Organisierte Kriminalität wird definiert als „die von Ge- 
winn- oder Machtstreben bestimmte planmäßige Bege- 
hung von Straftaten, die einzeln oder in ihrer Gesamtheit 
von erheblicher Bedeutung sind, wenn mehr als zwei Be- 
teiligte auf längere oder unbestimmte Dauer arbeitsteilig 

a) unter Verwendung gewerblicher oder geschäftsähnli- 
cher Stmkturen, 

b) unter Anwendung von Gewalt oder anderer zur Ein- 
schüchtemng geeigneter Mittel oder 

c) unter Einflussnahme auf Politik, Medien, öffentliche 
Verwaltung, Justiz oder Wirtschaft Zusammenwir- 
ken“. 369 

Für die Qualifiziemng kriminellen Verhaltens als organi- 
sierte Kriminalität müssen alle generellen und zusätzlich 
mindestens eines der speziellen Merkmale der Alternati- 
ven a) bis c) vorliegen. Formen organisierter Kriminalität 
im Internet reichen vom gemeinschaftlich geplanten und 
begangenen Warenbetmg über den Missbrauch von 
Bankdaten bis hin zu Erpressungen. Die Täter passen sich 
dabei laufend an technische Entwicklungen und auch ge- 
stiegene Sicherheitsvorkehmngen gegen kriminelles Han- 
deln an. Darüber hinaus „agieren nicht mehr wenige 
hochspezialisierte Straftäter, sondern überwiegend Krimi- 
nelle, die zumeist auf internationaler Ebene arbeitsteilig 

Zusammenwirken“. 320 

Neben den oben beschriebenen Formen organisierter Kri- 
minalität, bei denen es lediglich zu einer Verbindung der 


gitale Welt drehen, zum Beispiel den Verkauf gestohlener digitaler 
Identitäten oder auch kompletter krimineller Infrastrukturen. Vgl. 
Franosch, Rainer: Schriftliche Stellungnahme, vorgelegt im Rahmen 
des nicht öffentlichen Expertengespräches „Intemetkriminalität“ der 
Projektgmppe Zugang, Stmktur und Sicherheit im Netz der Enquete- 
Kommission Internet und digitale Gesellchaft des Deutschen Bun- 
destages vom 5. März 2012, S. 6. Online abmfbar unter: http://www. 
bundestag.de/interaetenquete/dokumentation/Zugang_Stmktur_und 
_Sicherheit_im_Netz/PGZuStrSi_2012-03-05/PGZuStrSi_2012-03- 
05_Stel lungnahme_OStA_Franosch.pdf 

Bundeskriminalamt: Organisierte Kriminalität Bundeslagebild 2010. 
2011, S. 9. Online abmfbar unter: http://www.bka.de/nn_193314/ 
SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebil 
der/OrganisierteKriminalitaet/organisierteKriminalitaetBundeslage 
bild2010,templateId=raw,property=publicationFile.pdf/organisierte 
KriminalitaetBundeslagebild20 1 0 .pdf 

Bundeskriminalamt: Cybercrime Bundeslagebild 2010. 2011, S. 14. 
Online abmfbar unter: http://www.bka.de/nn_224082/SharedDocs/ 
Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cyber 
crime/cybercrime2010,templateId=raw,property=publicationFiie.pdf/ 
cybercrime2010.pdf; so auch Franosch, Rainer: Schriftliche Stel- 
lungnahme, vorgelegt im Rahmen des nicht öffentlichen Expertenge- 
spräches „Intemetkriminalität“ der Projektgmppe Zugang, Stmktur 
und Sicherheit im Netz der Enquete-Kommission Internet und digita- 
le Gesellchaft des Deutschen Bundestages vom 5. März 2012, S. 7: 
„Die im Phänomenbereich aktiven Täter haben heute nach den bishe- 
rigen Erfahmngen in einer Vielzahl der Fälle als Einzelpersonen oder 
in Kleingmppen weder das vollständige zur Tatbegehung technische 
und soziale Wissen/Erfahmng, noch die zur Tatbegehung notwendige 
(technische und finanzielle) Infrastmktur“. Online abmfbar unter: 
http://www.bundestag.de/internetenquete/dokumentation/Zugang_ 
Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-03-05/PGZuStr 
Si_2012-03-05_Stellungnahme_OStA_Franosch.pdf 
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jeweils gewachsenen Strukturen der bisherigen organi- 
sierten Kriminalität und des Internets kommt, sind in den 
letzten Jahren auch „intemetspezifische“ Formen der or- 
ganisierten Kriminalität entstanden. Deren wesentli- 
ches Merkmal ist, dass die Defizite, die Einzeltäter in 
puncto Wissen oder Infrastruktur aufweisen, durch Ver- 
netzung ausgeglichen werden. Inzwischen hat sich inso- 
fern ein Parallelmarkt entwickelt, auf dem Daten, Waren, 
Geschäftsmodelle und Infrastrukturen gehandelt werden. 
Dieser Markt orientiert sich dabei vor allem an der Nach- 
fragesituation. Wissen und Ressourcen werden teilweise 
mit elektronischen Zahlungsmitteln wie Bitcoins, UKash 
oder Webmoney bezahlt und durch Umsatz- und Gewinn- 
beteiligungen abgegolten. Die Schwierigkeit für die 
Strafverfolgungsbehörden besteht dabei nicht zuletzt da- 
rin, dass sich innerhalb dieser dezentral organisierten 
Strukturen die Beteiligten in aller Regel nicht kennen, 
sondern auch untereinander anonym bleiben.^’z 


Fallbeispiel für Professionalisierung - Aufbau eiues 
Botuetzes: 

Ein großes Botnetz bringt demjenigen, der es kontrol- 
liert, Skalen vorteile. Ist die Anfangsinvestition (der 
Aufbau des Botnetzes) getätigt und hat das Netz eine 
kritische Masse überschritten, sinken die Kosten für 
jede Neuinfektion, da die bereits infizierten Computer 
als Mittel der Infektion genutzt werden können. Der 
Aufbau eines solchen Netzes verlangt indes erhebliche 
Investitionen. Es muss eine Sicherheitslücke gefunden 
werden, die im Idealfall noch nicht bekannt oder zumin- 
dest noch nicht geschlossen ist (zum so genannten 
„Zero-Day-Exploit“ siehe Kapitel 2/2. 2. 2. 2), es muss 
eine entsprechende „Backdoor“-Software (siehe Kapitel 
2/2. 1.6. 1.4) geschrieben oder angepasst werden und es 
muss ein Infektionsweg gefunden werden. Das Ziel des- 
jenigen, der ein solches Botnetz kontrolliert, wird es 
sein, die versunkenen Kosten, die der Aufbau des Bot- 
nefzes erfordert, wieder zu amortisieren. 


2.1.6 Angriffs mittel 

Im Folgenden soll ein Überblick über die wesentlichen 
technischen Angriffsmittel gegeben werden, die IT-Sys- 
teme gefährden können: 

2. 1.6.1 Schadsoftware 

Schadsoftware (englisch: Malware) umfasst jede Art von 
Code, der auf einem fremden Computer das Ausfuhren 
schädlicher Funktionen durch einen Angreifer ermög- 


Vgl. Franosch, Rainer: Schriftliche Stellungnahme, vorgelegt im 
Rahmen des nicht öffentlichen Expertengespräches „Intemetkrimina- 
lität“ der Projektgruppe Zugang, Struktur und Sicherheit im Netz der 
Enquete-Kommission Internet und digitale Gesellchaft des Deut- 
schen Bundestages vom 5. März 2012, S. 7. Online abrufbar unter: 
http://www.bundestag.de/internetenquete/dokumentation/Zugang_ 
Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-03-05/PGZu 
StrSi_2012 -03-05_Stellungnahme_OStA_Franosch.pdf 
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licht. Innerhalb dieser sehr weiten Definition gibt es 
eine Reihe von Unterscheidungen: 

2.1. 6.1.1 Viren 

Unter Viren werden sich selbst vermehrende Computer- 
programme verstanden, deren Ziel in erster Linie die Ver- 
breitung des eigenen Codes, also die Vermehrung und die 
Ausführung von Schadcode ist.374 Das namensgebende 
Charakteristikum eines Virus ist, dass er sich stets eines 
Wirtes in Form eines anderen Programmes bedient, in 
dessen Programmcode er sich hineinkopiert und dann mit 
ausgeführt wird, sobald das Wirtsprogramm gestartet 
wird.^’^ Als Wirt können alle ausführbaren Teile eines 
IT-Systems dienen. Hierzu gehören Programmdateien, 
Skripte, Makros in Dokumenten, aber auch weniger of- 
fensichtlich einsehbare Bereiche wie Programmbibliothe- 
ken oder Bootsektoren, die für die Anwender nur schwer 
als ausführbarer Teil eines Programms erkennbar sind.^^® 

Wird das Wirtsprogramm gestartet, laufen in aller Regel 
zwei Routinen ab: Zum einen die Schadroutine, die den 
Schadcode ausführt, und zum anderen die Verbreitungs- 
routine, bei der der Virus sich selbst in weitere, noch nicht 
infizierte Programme hineinkopiert.^'^^ 

Die Verbreitungsmethoden von Viren hängen von der 
Verbreitung der Wirtsprogramme ab. Insofern ist der 
Weg, auf dem Viren verbreitet werden können, beliebig 
und korreliert regelmäßig mit der typischen Art, wie Pro- 
grammcode weitergegeben wird.^^* So hat sich die Art 
der Verbreitung von Viren ebenso gewandelt wie die Art 
der Verbreitung von Programmcode. Während in der Ver- 
gangenheit noch die Weitergabe mittels Diskette oder 
CD-ROM üblich war, steht heute, im Intemetzeitalter, die 
Verbreitung über E-Mails, FTP-Server, Web-Server und 
Filesharing-Netzwerke im Vordergrund. Viren spielen 
nach wie vor insbesondere in speziellen Bereichen - wie 
etwa bei eingebetteten Systemen oder Betriebssystemen 
mobiler Endgeräte - eine erhebliche Rolle. 


Malware = Malicious Software = Bösartige Software; siehe zu der 
Thematik auch Walter, Gregor: Intemetkriminalität. Eine Schatten- 
seite der Globalisierung. SWP-Studie, Stiftung Wissenschaft und 
Politik, Deutsches Institut für Internationale Politik und Sicher- 
heit. Juni 2008, S. 19. Online abrulbar unter: http://www.swp-ber 
lin.org/fileadmin/contents/products/studien/2008_S16_walter_ks.pdf 

374 Vgl. Eckert, Claudia: IT-Sicherheit: Konzepte - Verfahren - Proto- 
kolle. 7., überarbeitete und erweiterte Auflage 2012, S. 55 f. 

Vgl. Slade, Robert M.: Computer Viruses. 2002, S. 256. 

Siehe zu den verschiedenen Typen von Viren: Slade, Robert M.: 
Computer Viruses. 2002, S. 258 f. 

377 Ygi Tipton, Harold F./Krause, Micki (Hrsg.): Information Security 
Management Handbook. 6. Auflage 2007, S. 100. 

So lässt sich sagen, dass die Weitergabe eines Virus noch immer der 
Interaktion eines Menschen bedarf. Vgl. Vacca, John R.: Computer 
and Information Security Handbook. 2009, S. 56. 

Auch das Überspringen eines Virus vom PC auf ein mobiles Endge- 
rät stellt technisch kein Problem dar, auch wenn derartige Fälle in der 
Praxis, soweit ersichtlich, noch nicht beobachtet wurden. Siehe Bun- 
desamt für Sicherheit in der Informationstechnik: BSI-Lagebericht - 
Die Lage der IT-Sicherheit in Deutschland 2011. Mai 2011, S. 25. 
Online abrufbar unter: https://www.bsi.bund.de/SharedDocs/Down- 
loads/DE/BSI/Publikationen/Lageberichte/Lagebericht2011_nbfpdf? 
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2. 1.6.1 .2 Würmer 

Während Viren auf eine Verbreitung der von ihnen infi- 
zierten Dateien angewiesen sind, haben Computerwürmer 
die Mögliehkeit, die bereitgestellte Netzinfrastruktur des 
Systems, auf dem sie sieh befinden, zu nutzen, um sieh 
eigenständig über ein Netzwerk zu verbreiten. So er- 
klärt sieh aueh die gänzlieh andere Angriffsstrategie eines 
Computerwurms gegenüber der eines Virus. Während der 
Virus zum Ziel hat, mögliehst viele andere Dateien zu in- 
fizieren, da so die Wahrseheinlichkeit steigt, auf ein ande- 
res, noeh nieht infiziertes System übertragen zu werden, 
nisten sieh Würmer in den meisten Fällen unauffällig im 
System ein. Je länger der Wurm unbemerkt bleibt, umso 
größer ist der Erfolg, der in der Ausführung des Sehad- 
codes und in der Weiterverbreitung des Wurms liegt. 
Das Gefahrenpotenzial von Würmern steigt noch immer. 
Dies ist zum einen auf die immer ausgefeiltere Technik 
zurückzuführen, mit der diese zur Umgehung von Sicher- 
heitsmechansimen programmiert werden; zum anderen 
auf die immer weitere Verbreitung von Intemetanschlüs- 
sen und damit auch von Würmern. 

2. 1.6.1 .3 Trojaner 

Ein Trojaner, auch Trojanisches Pferd genannt, ist eine 
Software, welche von den Benutzern im Glauben ausge- 
führt wird, dass es sich um ein nützliches Programm han- 
dele.3^2 Auf diese Weise implementiert sich ungewollt ein 
Schadprogramm. Heutige Varianten sind häufig sehr fle- 
xibel. Teilweise bieten sie die Möglichkeit, Schadcode 
nachzuladen und damit durch zusätzliche Funktionen 
mehr Schaden anzurichten; sie können sich nicht selbst 
verbreiten.383 Die Grenzziehung zwischen Viren und Tro- 
janern ist nicht trennscharf, aber auch nicht erforderlich. 
Zu den häufigsten Funktionen gehören das Ausspionieren 
von Daten sowie das Überwachen von Benutzereingaben 
wie Passwörtern. Oftmals enthalten Trojaner auch Back- 
door-Funktionalitäten . 3^4 


blob=publicationFile; zumindest für den Bereich der Privatanwen- 
der gilt, dass Virenscanner einen durchaus effektiven Schutz bieten, 
sofern sie den Vorgaben entsprechend eingesetzt werden. Siehe hier- 
zu Pfleeger, Charles P./Pfleeger, Shari Lawrence: Analyzing Compu- 
ter Security: A ThreatA^ilnerability/Countermeasure Approach. 2011, 
S. 159 f. 

380 Vgl. Slade, Robert M.: Computer Viruses. 2002, S. 256, 255. 

Vgl. Charles P./Pfleeger, Shari Lawrence: Analyzing Computer Se- 
curity: A ThreatAhilnerability/Countermeasure Approach. 2011, 
S. 136 f. 

Der Begriff Trojaner wird nicht einheitlich gebraucht. Oftmals wer- 
den auch Schadprogramme mit der Funktion einer Backdoor auch 
dann als Trojaner bezeichnet, wenn sie sich gerade nicht den An- 
schein von sinnvoller Software geben. Dies ist jedoch angesichts der 
mythologischen Herleitung ungenau. Indes enthalten Trojaner regel- 
mäßig Backdoorfunktionalität, und Backdoorsoftware kommt als 
Trojaner auf den Computer. So wie hier etwa auch Newman, Robert 
C.: Computer Security: Protecting Digital Resources. 2010, S. 40. 

383 Ygi Bundesamt für Sicherheit und Informationstechnik: IT-Grund- 
schutz-Kataloge, Stand: 12. Ergänzungslieferung. September 2011, 
S. 861. Online abrufbar unter: https://gsb.download.bva.bund.de/ 
BSI/ITGSK12EL/IT-Grundschutz-Kataloge-12-EL.pdf 

384 Vgl. Tanenbaum, Andrew S.: Moderne Betriebssysteme. 2009, 
S. 772 ff.; siehe weiter im Anschluss. 


2.1. 6.1. 4 Backdoors 

Eine Backdoor ermöglicht den alternativen, unüblichen 
Zugang zu einem IT-System,385 den ein Hersteller setzen 
oder ein feindlicher Angreifer hinzufügen kann. Mittels ei- 
ner solchen Hintertür erhält ein Angreifer Zugriff auf das 
fremde Sysfem und kann mit ihm umgehen, als sei er ein 
berechtigter Benutzer.^s^ Zu den typischen Schadroutinen 
gehört hier das Nachladen weiterer schädlicher Software 
sowie das Löschen oder Verändern bestehender Dateien. 
Darüber hinaus dienen Backdoors auch dem Ausspähen 
von Benutzereingaben wie Passwörtern, dem Versenden 
von Spam oder auch dem Ausführen eines DDoS-An- 
griffs. Backdoors sind im Zusammenspiel mit anderen 
Techniken von erheblichem Gefährdungspotenzial. So kön- 
nen mittels eines auf dem Computer installierten Back- 
doorprogramms in Verbindung mit einem gezielten 
Phishing-Angriff Schutzmechanismen des Onlinebanking, 
wie etwa das indizierte Transaktionsnummem(iTAN)- 
Verfahren, außer Kraft gesetzt werden.^®’ 

Im Bereich Backdoors ist ebenfalls relevant, dass ein 
Großteil der IT-Produkte inzwischen in Ländern herge- 
stellt und/oder entwickelt wird, in denen die politische 
Lage nicht ausschließen lässt, dass Hintertüren bereits 
bei der Entwicklung und Produktion in die Hard- oder 
Software implementiert werden. Das betrifft nicht nur 
Produkte für einzelne IT-Sysfeme, sondern auch Nefz- 
werkkomponenten wie beispielsweise die in Untemeh- 
mensnetzwerken oder in den Backbone-Netzen des Inter- 
nefs eingesetzten Router. 

Zur Verdeutlichung kann darauf verwiesen werden, dass 
in den vergangenen Jahren eine Reihe von Fällen „ver- 
borgener Hintertüren“ sowohl im Hardware- als auch im 
Software-Bereich öffentlich geworden ist. 

Dass typischerweise in größeren Stückzahlen bestellte 
Technologie wie Computerchips nicht mehr einzeln ge- 
testet werden können, begünstigt den Einbau von Hinter- 
türen. 2011 wurde etwa bekannt, dass 59 000 Mikrochips 
aus China, die von der US-Armee gekauft worden waren, 
eine Hintertür enthielten. Diese hätte das Abschalten der 
Chips aus der Feme ermöglicht. Wie man solche Hin- 
tertüren auffindet, ist daher seit Jahren Teil wissenschaft- 
licher Forschung.389 

Im Januar 2012 wurde bekannt, dass die Hersteller RIM, 
Nokia und Apple den indischen Behörden über eine Hin- 


385 Vgl. Whitman, Michael E./Mattord, Herbert J.: Principles of Infor- 
mation Security. 2009, S. 58 f. 

386 Ygi Vacca, John R.: Computer and Information Security Handbook. 
2009, S.295. 

387 Vgl. Bundeskriminalamt: Cybercrime Bundeslagebild 2010. 2011, 
S. 10. Online abrufbar unter: http://www.bka.de/nn_224082/Shared 
Docs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/ 
Cybercrime/cybercrime20 1 0,templateld=raw,property=publication 
File.pdf/cybercrime20 1 0.pdf 

388 Ygl. Johnson, Robert: The Navy Bought Fake Chinese Microchips 
That Could Have Disarmed U.S. Missiles. Business Insider, 27. Juni 
2011. Online abrufbar unter: http://www.businessinsider.com/navy- 
chinese-microchips-weapons-could-have-been-shut-off-20 11-6 
Vgl. Adee, Sally: The Hunt for the Kill Switch. Mai 2008. Online 
abrufbar unter: http://spectrum.ieee.org/semiconductors/design/the- 
hunt-for-the-kill-switch/0 
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tertür Zugang zu Inhalten von Mobilkommunikation ver- 
schafft haben. Die Hersteller räumten die Zusammenar- 
beit mit den staatlichen Behörden und Militärs ein.^^o 

Zudem werden heute neben den Backdoors auch soge- 
nannte Bugdoors verwendet, da die Ausnutzung einer ab- 
sichtlich nicht geschlossenen Sicherheitslücke weniger 
riskant ist als das direkte Hinterlassen einer Hintertür. 
Bugdoors werden ebenfalls von den Herstellern imple- 
mentiert und können wie „verborgene Hintertüren“ be- 
nutzt werden. Vergleichbares gilt für von Herstellern ver- 
gebene Passwörter, die eine ähnliche Wirkung wie eine 
Hintertür entfalten können. 

2. 1.6.1 .5 Rootkits 

Mit den Backdoors verbunden ist die Funktion der Root- 
kits, die in erster Linie dazu dienen, nach dem Kompro- 
mittieren des Systems die Entdeckung des Angriffs zu 
verhindem.3^' Hierzu können unberechtigte Anmeldevor- 
gänge verborgen sowie Prozesse und Dateien vor dem 
Benutzer, aber auch vor Virenscannem versteckt werden. 
Merkmal von Rootkits ist, dass sie im Vergleich zu ande- 
rer Schadsoftware wesentlich tiefer in das System ein- 
greifen, was ein Entdecken und Löschen schwierig bis 
fast unmöglich macht. ^92 

2. 1.6.1 .6 Spyware 

Der Begriff Spyware umfasst Schadsoftware, die darauf 
ausgelegt ist, das Nutzerverhalten aufzuzeichnen und 
diese Daten an den Angreifer oder Dritte zu senden, re- 
gelmäßig um personalisierte Werbung zu ermöglichen 
oder Marktforschung zu betreiben.^^s Oft werden diese 
Informationen in Datenbanken gesammelt und genutzt, 
um gezielt Benutzerprofile zu erstellen. 

Spyware wird in den meisten Fällen als Trojanisches 
Pferd zusammen mit einer (vermeintlich) nützlichen Soft- 
ware installiert. Außerdem wird Spyware auch mittels 
Drive-by-Download unter Ausnutzung einer Sicherheits- 
lücke im Browser oder eines Plug-Ins installiert. 

2. 1.6.2 Andere Angriffsmethoden 

Es gibt noch eine Reihe weiterer Angriffsmethoden. Ei- 
nen Schwerpunkt bilden Vorgänge zur Erlangung von 


390 Ygi hierzu beispielsweise Kuhn, Johannes: Hacker veröffentlichen 
brisantes Dokument. Paktieren Apple und Co. mit dem indischen Ge- 
heimdienst? Sueddeutsche.de, 10. Januar 2012. Online abrufbar un- 
ter: http://www.sueddeutsche.de/digital/hacker-veroeffentlichen-bri 
santes-dokument-paktieren-apple-und-co-mit-dem-indischen-geheim 
dienst-1. 1253545; Sawall, Achim: Smartphones. Hintertüren zur 
Überwachung bei Apple, RIM und Nokia. Zeit Online, 10. Januar 
2012. Online abrufbar unter: http://www.zeit.de/digital/datenschutz/ 
20 1 2-0 1 /indien-smartphones-hintertuer-ueberwachung 
Sehr ausführlich: Tanenbaum, Andrew S.: Moderne Betriebssysteme. 
2009, S. 795 ff. 

Sehr ausführlich: Ebd. 

393 Ygi Tipton, Harold F./Krause, Micki (Hrsg.): Information Security 
Management Handbook. 6. Auflage 2007, S. 663. 

394 Ygl. Erbschloe, Michael: Trojans, Worms, and Spyware - A Compu- 
ter Security Professionals Guide to Malicious Code. 2005, S. 26 f. 

Zu dieser Problematik näher unten in Kapitel 2/2. 1.7.1. 


Passwörtern oder ähnlichen Daten, um so die spätere 
Kompromittierung des Systems erst zu ermöglichen. 

So kann etwa mittels Packet Sniffing der gesamte Verkehr 
eines Netzwerks „mitgehört“ werden. Dies ist für Angrei- 
fer besonders dann von Interesse, wenn Übertragungspro- 
tokolle im Einsatz sind, bei denen der Datenverkehr - und 
insbesondere auch die Passwörter - unverschlüsselt über- 
tragen werden. Ein offenes oder nicht mit einem ausrei- 
chend starken Passwort verschlüsseltes WLAN stellt so 
ein erhebliches Sicherheitsrisiko dar. Während offene 
WLANs im Unternehmens- und Privatbereich^?’ inzwi- 
schen eher die Ausnahme sein dürften, finden sich öffent- 
liche HotSpots etwa in Cafes oder Hotels. Der Angriff auf 
die Datenströme von Computern eines solchen öffentli- 
chen HotSpots ist, sofern bei der Nutzung des HotSpots 
keine Verschlüsselungstechniken genutzt werden, auch 
für technisch weniger versierte Angreifer mittels im Inter- 
net angebotener Tools leicht möglich. Hier steht zu er- 
warten, dass die Angriffe noch vielfältiger werden. Im- 
mer öfter werden auch wichtige Geschäftsdaten 
unterwegs bearbeitet und versendet und werden so zum 
möglichen Ziel von Sniffing. 

Ebenfalls zu den nutzbaren Mitteln technisch wenig ver- 
sierter Angreifer gehören so genannte Vulnerability Scan- 
ner. Diese Programme dienen dem Zweck, ein Zielsystem 
auf das Vorhandensein von bekannten Sicherheitslücken 
zu untersuchen. Gedacht sind sie in erster Linie zur Absi- 
cherung des eigenen Systems. In dieser Funktion haben 
sie in der IT-Sicherheit auch erhebliche Bedeutung. 2^9 Ein 
Missbrauch lässt sich jedoch nicht ausschließen. 

2.1.7 Infektions- und Angriffspunkte 

Die Täter von Intemetkriminalität machen sich sicher- 
heitstechnische Schwachstellen zunutze. In diesem Zu- 
sammenhang sind vor allem folgende Punkte zu nennen: 


396 Vgl. Erickson, Jon: Hacking: The Art of Exploitation. 2. Auflage 
2008, S. 226 ff. 

Dies ist wohl auch darauf zurückzuführen, dass praktisch alle Router 
heute mit einer Anwendersoftware ausgeliefert werden, die bei der 
ersten Einrichtung des Routers automatisch ein sicheres Passwort 
wählt. 

Siehe auch Bundesamt für Sicherheit und Informationstechnik: BSI- 
Lagebericht - Die Lage der IT-Sicherheit in Deutschland 2011. Mai 
2011, S. 34. Online abrufbar unter: https://www.bsi.bund.de/Shared 
Docs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht 

2011.pdf? blob=publicationFile. Hiernach wissen lediglich rund 

60 Prozent der vom BSI befragten Nutzer, dass ihre mobilen Endge- 
räte die gleichen Sicherheitsanforderungen haben wie ein PC. Einer 
Studie im Auftrag der Wirtschaftsberatungsfirma KPMG zufolge 
werden geschäftliche Mobiltelefone wesentlich häufiger verloren als 
private. Dies alles mag als Hinweis darauf verstanden werden, wie 
sorglos Nutzerinnen und Nutzer immer noch dem Trend zu mehr Mo- 
bilität gegenüberstehen. Vgl. AKJ Associates: The e-Crime Report 
2011. Managing risk in a changing business and technology environ- 
ment. 2011, S. 15. Online abrufbar unter: http://www.kpmg.com/UK/ 
en/IssuesAndlnsights/ArticlesPublications/Documents/PDF/Adviso 
ry/ecrime-report-201 l-accessible-2.pdf 

So bietet auch das BSI eine Live CD mit der Sicherheitssoftware 
OpenVAS, zu deren Bestandteilen auch ein Vulnerability Scanner ge- 
hört. 
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2. 1.7.1 Sicherheitslücken von Software 

Das wohl am ehesten mit Intemetkriminalität assoziierte 
und auch bislang das häufigste Verfahren des Einbruchs 
in ein System ist das Ausnutzen einer Sicherheitslücke 
(englisch: Exploit), die aufgrund von Programmierfehlem 
in einem Programm enthalten ist."'*'*’ Trotz der wohl recht 
hohen Dunkelziffer weisen Statistiken des BSl daraufhin, 
dass die Zahl der veröffentlichten Sicherheitslücken in 
Software nach wie vor als hoch einzustufen ist und die 
Zahl der vom Bürger-CERT^o' gemeldeten Sicherheitslü- 
cken zumindest zwischen 2008 und 2010 eine anstei- 
gende Tendenz aufweist. "^•*2 Besonders relevant im 
Bereich dieser Sicherheitslücken, wenn auch mit abneh- 
mender Tendenz, sind Drittanbieter-Web-Anwendun- 
gen."^*’^ Mit dem zunehmenden Bedürfnis eines inter- 
aktiven Internets müssen Techniken jenseits der reinen 
Auszeichnungssprache HTML verwendet werden. Be- 
reits frühzeitig wurden verschiedene Techniken für aktive 
Inhalte entwickelt, die Erweitemngen des Browsers dar- 
stellen und es erlauben, dynamisch auf Benutzeraktionen 
zu reagieren. Dieser eingebettete Code wird lokal auf 
dem Rechner des Nutzers ausgeführt. Browser-Plug- 
Ins'*®'* sind daher bei Virenautoren beliebte Ziele und wer- 
den besonders oft angegriffen. Insbesondere ist ein An- 
stieg an neu bekannt werdenden Sicherheitslücken bei 
Rieh Media-Anwendungen"^*’^ zu beobachten. So gehört 
derzeit etwa der Adobe Flash Player zu den Programmen, 
in denen besonders viele Sicherheitslücken bekannt wur- 
den. Zusammen mit den ohnehin bereits in den Brow- 
sern und Betriebssystemen vorhandenen Sicherheitslü- 
cken"'*” kumulieren sich damit die Schwachstellen beim 
Einsatz der Software. 


400 Ygi Gaycken, Sandro: Cyberwar: Das Internet als Kriegsschauplatz. 
2011, S. 54. 

Das Bürger-CERT (Computer Emergency Response Team) ist eine 
vom BSI betriebene Plattform und dient der Warnung von Bürgerin- 
nen und Bürgern sowie kleinen Unternehmen vor Viren, Würmern 
und Sicherheitslücken in Software. Das Bürger-CERT ist online er- 
reichbar unter: https://www.buerger-cert.de/ 

402 Ygi Bundesamt für Sicherheit und Informationstechnik: BSI-Lage- 

bericht - Die Lage der IT-Sicherheit in Deutschland 2011. Mai 2011, 
S. 6. Online abrufbar unter: https://www.bsi.bund.de/SharedDocs/ 
Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht20 1 1 . 
pdf? blob=publicationFile 

403 Ygl. ebd. 

Ein Browser-Plug-In ist eine Software eines Drittanbieters, die dazu 
dient, die ursprüngliche vom Hersteller eines Browser vorgegebene 
Funktionalität zu erweitern. 

Unter Rieh Media werden multimediale und interaktive Inhalte wie 
beispielweise Videos und Animationen verstanden. 

406 Ygl. Bundesamt für Sicherheit und Informationstechnik: BSI-Lage- 
bericht - Die Lage der IT-Sicherheit in Deutschland 2011. Mai 2011, 
S. 6. Online abrufbar unter: https://www.bsi.bund.de/SharedDocs/ 
Downloads/DE/B SI/Publikationen/Lageberichte/Lagebericht20 1 1 .pdf? 

blob=publicationFile; IBM: IBM X-Force 2011 Mid-Year Trend 

and Risk Report. 2011, S. 67. Online abrufbar unter: http://www- 
03.ibm.com/security/landscape.html 

Beispielsweise wurden für Mozilla Firefox im Jahr 2011 
60 Schwachstellen entdeckt, welche die Ausführung von Schadcode 
ermöglichen. Siehe dazu Bundesamt für Sicherheit und Informa- 
tionstechnik: BSI-Lagebericht - Die Lage der IT-Sicherheit in 
Deutschland 2011. Mai 2011, S. 6. Online abrufbar unter: https:// 
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/La 
geberichte/Lagebericht20 1 1 .pdf? blob=publicationFile 


Eine weitere Form des Ausnutzens von Sicherheitslücken 
ist der Drive-by-Exploit. Hierbei werden insbesondere 
auch Sicherheitslücken in Software wie etwa Browsern, 
in Adobe Flash sowie in der Java-Laufzeitumgebung aus- 
genutzt. Die besondere Gefahr von Drive-by-Exploits 
liegt darin, dass die Infektion des Computers herbeige- 
führt werden kann, ohne dass eine willentliche Interak- 
tion der Benutzer mit der Quelle der Schadsoftware vor- 
liegt. Eine Infektionsquelle kann beispielsweise eine 
manipulierte Website sein, auf die Benutzer mittels Spam 
gelockt werden. Aber auch über eine den Anwendern be- 
reits bekannte Website kann eine Infektion erfolgen, falls 
diese als Folge eines Angriffs auf dem kostenden Webser- 
ver manipulierte wurde. 

2.1. 7.2 Social Engineering und Phishing 

Social Engineering unterscheidet sich fundamental von 
den anderen beschriebenen Techniken und ist gleichzeitig 
integraler Bestandteil zahlreicher Angriffe. Social Engi- 
neering bezeichnet einen Angriff auf ein IT-System, wel- 
cher nicht vorrangig auf technischen Mitteln, sondern 
vielmehr auf der Beeinflussung der Anwenderinnen und 
Anwender beruht."'*’* Dabei stehen neben zunehmend raf- 
finierteren technischen Kenntnissen vor allem auch psy- 
chologische und sprachliche Fähigkeiten der Angreifer 
im Mittelpunkt, um etwa bei einem Opfer falsches Ver- 
trauen zu erzeugen und so die gewünschten Informatio- 
nen zu erhalten."'*’^ Analysten gehen davon aus, dass So- 
cial Engineering mit der weiterhin zunehmenden 
Popularität von sozialen Netzwerken noch weiter an Be- 
deutung gewinnen wird.""*’ Die Gefahr, die von Social En- 
gineering ausgeht, ist insbesondere deshalb als relevant 
anzusehen, weil es kaum technische Schutzmittel gegen 
diese Form des Angriffs gibt. Bei sowohl technisch als 
auch psychologisch hinreichend ausgeklügelten Social- 
Engineering-Angriffen stellt sich die Erkennung eines 
Angriffs selbst für versierte und computeraffine Nutzerin- 
nen und Nutzer als Herausforderung dar. 

Im Bereich des Social Engineering ist auch das Phishing 
anzusiedeln. Ein Phishing-Angriff funktioniert üblicher- 
weise so, dass der Angreifer eine bekannte Website mög- 
lichst detailgetreu nachbaut. Hierbei versucht er, die Web- 
site unter einer Domain abzulegen, die der Domain der 
Originalwebsite ähnelt, beispielsweise durch das Vertau- 
schen eines Buchstabens. Nun sendet er eine große An- 
zahl E-Mails an beliebige Empfänger. Hierfür werden re- 
gelmäßig Botnefze oder ähnliche Spamstrukturen 
benutzt, ln diesen E-Mails, die durch ihr Design und ihre 
Absenderkennung den Anschein erwecken sollen, sie kä- 
men von dem Betreiber der eigentlichen, echten Web- 


408 Ygl. Vacca, John R.: Computer and Information Security Handbook. 
2009, S. 55; siehe dazu auch Kshetri, The Global Cybercrime Indust- 
ry, 2010, S. 10. 

409 Ygl. Kshetri, Nir: The Global Cybercrime Industry. 2010, S. 10. 

410 Ygl. AKJ Associates: The e-Crime Report 2011. Managing risk in a 
changing business and technology environment. 2011, S. 13. Online 
abrufbar unter: http://www.kpmg.com/UK/en/IssuesAndInsights/ 
ArticlesPublications/Documents/PDF/Advisory/ecrime-report-20 11- 
accessible-2.pdf 
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site,"*" wird der Benutzer aufgefordert, aus einem wichti- 
gen Grund einem Link in der E-Mail zu folgen und auf 
der so besuchten Seite seine Daten einzugeben. Folgt der 
Benutzer dieser Aufforderung, werden seine Daten vom 
Täter abgefangen. Dies kann vom vergleichsweise harm- 
losen Identitätsdiebstahl in sozialen Netzwerken bis hin 
zu erheblichen Vermögensschäden reichen, wenn etwa 
das Onlinebanking eines Benutzers betroffen ist. Hierbei 
hat allerdings nach Informationen des BSI diese einfache 
Form des Phishing zumindest im Bereich des Onlineban- 
king fast vollständig an Bedeutung verloren. "*'2 Einige 
Studien legen nahe, dass sich das Phishing von der 
E-Mail-Kommunikation auf soziale Netzwerke und In- 
stant-Messaging ausgebreitet hat."''^ 

Phishing in seiner klassischen Form eines sehr breit ange- 
legten Angriffs, bei dem aufgrund der schieren Anzahl an 
versuchten Angriffen irgendwann ein Erfolg erzielt wird, 
ähnelt praktisch nur dem Namen nach dem neueren Spear 
Phishing. So werden die nach Einschätzung von Sicher- 
heitsexperten zunehmend auftretenden, sehr gezielten 
und oftmals sehr gut vorbereiteten Angriffe genannt, wel- 
che auf ein bestimmtes Opfer zugeschnitten sind.'"'* 

Ein weiteres Beispiel für Social Engineering ist die so ge- 
nannte Scareware. Dabei handelt es sich um Software, die 
den Benutzern eine Bedrohung ihres Computers vorgau- 
kelt, wie beispielsweise einen Virenbefall. Auf diese 
Weise will man die Benutzer zu einer bestimmten Aktion 
bewegen, wie dem kostenpflichten Download eines Anti- 
virenprogramms zur Bereinigung des Computers. Bei die- 
sen Programmen handelt es sich oftmals um Trojaner mit 
Backdoor-Funktionalität.'''^ Grundsätzlich gehören auch 
solche Trojaner in den Bereich des Social Engineering. 

2. 1.7. 3 Ausnutzen des Anwenderverhaltens/ 
Fehlendes Sicherheitsbewusstsein 

Große Sicherheitsrisiken bei IT- Systemen basieren da- 
rüber hinaus regelmäßig auf dem Verhalten der Anwende- 
rinnen und Anwender. Diese sorgen in vielen Fällen un- 
bewusst dafür, dass auch die am besten ausgearbeitete 
Sicherheitsstrategie scheitert.'*'^ 


Der Absender einer E-Mail ist einfach zu fälschen. Für den Laien 
sind solche Fälschungen kaum auszumachen. Hierzu und zum Gan- 
zen: Jahankhani, Hamid et al.: Handbook of Electronic Security and 
Digital Forensics. 2010, S. 401. 

412 Ygi Bundesamt für Sicherheit und Informationstechnik: BSI-Lage- 
bericht - Die Lage der IT-Sicherheit in Deutschland 2011. Mai 2011, 
S. 23. Online abrufbar unter: https://www.bsi.bund.de/SharedDocs/ 
Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht20 1 1 . 
pdf? blob=publicationFile 

Vgl. IBM: IBM X-Force 2011 Mid-Year Trend and Risk Report. 
2011, S. 18. Online abrufbar unter: http://www-935.ibm.com/servi 
ces/us/iss/xforce/trendreports/ 

414 Vgl. ebd., S. 22. Sowie; AKJ Associates: The e-Crime Report 2011. 
Managing risk in a changing business and technology environment. 
2011, S. 13. Online abrufbar unter: http://www.kpmg.com/UK/en/ 
IssuesAndlnsights/ArticlesPublications/Documents/PDF/Advisory/ 
ecrime-report-20 1 1 -accessible-2.pdf 

415 Vgl. zum Beispiel dpa/Bachfeld, Daniel: BKA hilft bei Zerschlagung 
von Scareware-Bande. heise online, 23. Juni 2011. Online abrufbar 
unter: http://heise.de/-1266523 

416 Vgl. Gaycken, Sandro: Cyberwar: Das Internet als Kriegsschauplatz. 
2011, S. 52. 


Dabei spielt häufig auch unachtsames und von fehlendem 
Risikobewusstsein geprägtes Verhalten eine Rolle (siehe 
dazu das Fallbeispiel zu manipulierter Hardware). Dazu 
zählt auch das Nichtdurchführen von Systemupdates trotz 
bereits erfolgter Bereitstellung von Seiten der Hersteller/ 
Produzenten^!’ sowie das unachtsame Installieren von 
Drittanbietersoftware beziehungsweise die unachtsame 
Rechtezuweisung an diese und die Ignorierung von Wam- 
hinweisen.'!!* 


Fallbeispiel - manipulierte Hardware: 

Mittels manipulierter Computermäuse, die im Rahmen 
eines Tests als vermeintliches Geschenk an die Mitar- 
beiter einer Firma geschickt wurden, konnte ein Angriff 
auf Firmennetzwerke erfolgreich vorgetragen werden. 
Die Mäuse enthielten einen Mikrocontroller, der bei An- 
schluss an die USB-Schnittstelle des Computers einen 
Trojaner auf den Rechner schleuste. Erfolgreich war der 
Angriff auch deshalb, weil die von dem angegriffenen 
beziehungsweise getesteten Unternehmen mit der Über- 
prüfung des Sicherheitskonzepts beauftragte Firma den 
Trojaner speziell auf die verwendete Virenscanner-Soft- 
ware zuschneiden konnte, da Mitarbeiter sich vorher öf- 
fentlich auf Facebook über das Programm beschwert 
hatten."!'^ Ähnliche Fälle sind schon des Öfteren bekannt 
geworden. Auch andere der oben genannten Methoden 
setzen die Interaktion der Anwenderin beziehungsweise 
des Anwenders voraus. 


2.1. 7.4 Sonderproblem: Anbieter-/ 
Produzentenverhalten 

Gerade - aber nicht ausschließlich - im Bereich der Be- 
triebssysteme für mobile Endgeräte zeigt sich das Pro- 
blem, dass selbst grundsätzlich sorgfältig mit der Sicher- 
heit ihrer Systeme umgehenden Nutzerinnen und Nutzer 
keine Möglichkeit an die Hand gegeben wird, ihrer Sorg- 
falt überhaupt erst nachzukommen, da die Anbieter/Pro- 
duzenten der Produkte gar keine oder nur stark verzögert 
Updates zur Verfügung stellen . ‘•’ü Damit bleiben die be- 
reits bekannten Sicherheitslücken entweder dauerhaft 
oder zumindest für eine lange Zeit im System. Für die 
Anwender verbleibt dann lediglich die Möglichkeit, auf 
die Nutzung der Geräte mit dem veralteten System zu 


41'^ Für mobile Endgeräte siehe Bundesamt für Sicherheit und Informa- 
tionstechnik: BSI-Lagebericht - Die Lage der IT-Sicherheit in 
Deutschland 2011. Mai 2011, S. 18. Online abmfbar unter: https:// 
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ 
Lageberichte/Lagebericht20 1 1 .pdf? blob=publicationFile 

41^ Ebenfalls für mobile Endgeräte. Siehe hierzu Eckert, Claudia: IT-Si- 
cherheit: Konzepte - Verfahren - Protokolle. 7., überarbeitete und er- 
weiterte Auflage 2012, S. 87 f 

419 Vgl. Dorscheid, Kathrin: Netzwerk-Sicherheit: Hier kommt der 
Maus-Trojaner. Spiegel Online, 6. Juli 2011. Online abrufbar unter: 
http://www.spiegel.de/netzwelt/web/netzwerk-sicherheit-hier-kommt 
-der-maus-trojaner-a-772462.html 

420 Zur Updateproblematik bei mobile Endgeräten siehe Eckert, Claudia: 
IT-Sicherheit: Konzepte - Verfahren - Protokolle. 7., überarbeitete 
und erweiterte Auflage 2012, S. 88; siehe weiter Wirtgen, Jörg: Up- 
date-Stau bei Androiden. Warum Android-Smartphones so selten 
Updates bekommen, heise online, 9. September 2011. Online abruf- 
bar unter; http://heise.de/-1337858 
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verzichten, sofern nicht zumindest zwischenzeitig vom 
Hersteller ein Workaround als provisorische Lösung zur 
Wiederherstellung der Sicherheit angeboten wird. 

2.2 Schutzmöglichkeiten 

Im Folgenden sollen überblicksartig grundsätzliche 
Schutzmöglichkeiten gegen die genannten Bedrohungen 
aufgeführt werden. Als Orientierungspunkte dienen dabei 
die identifizierten Schwachstellen, die zu einer Gefahr- 
dungslage führen, beispielsweise das mangelnde Sicher- 
heitsbewusstsein der Nutzerinnen und Nutzer. 

2.2.1 Motivation der Angreifer verringern 

Wie bereits in Kapitel 2/2. 1.4 dargelegt, sind die Täter 
zum einen durch die Herausforderung motiviert, die der 
Einbruch in ein fremdes System bietet; zum anderen spie- 
len monetäre Motive eine zentrale Rolle. 

Die dualistische Motivationslage im Falle von Intemet- 
kriminalität birgt das Risiko eines Paradoxons: Während 
Täter mit monetären Motiven von einem hohen Aufwand 
abgeschreckt werden, erhöht sich, wie Studienergebnisse 
belegen, die Motivation der intrinsisch handelnden Tä- 
ter, gerade in diese noch besser geschützten Systeme ein- 
zubrechen. 

Ökonomisch motivierte Täter haben den Vorteil, dass das 
Internet als globalisierter Handlungsraum nicht über kon- 
trollierbare Grenzen verfügt, an denen Finanzströme ohne 
Weiteres abgefangen werden können. Sie verfügen über 
Methoden, Finanzmittel etwa mit Hilfe von Mittelsperso- 
nen aus einem Graubereich in den Wirtschaflskreislauf zu 
überführen. "*22 Eine Verfolgbarkeit dieses Finanzstroms 
ist - wenn überhaupt - nur sehr schwer möglich. 

2.2.2 Beseitigung oder Reduzierung von 
infektions- und Angriffspunkten 

Zahlreiche IT-Risiken sind systemischer Natur, das heißt 
isoliert betrachtet stellen sie kein Risiko dar, wohl aber im 
Zusammenwirken. Hat ein Angreifer es etwa geschafft, 
die Daten innerhalb eines Systems zu kompromittieren, 
verliert jeder Authentifizierungsmechanismus seinen 
Wert. Die bloße Absicherung nur eines Teilbereichs eines 
IT-Systems ist unzureichend, um den Schutz zu gewähr- 
leisten. "*22 Der Aufbau einer sicheren IT ist eine komplexe 
Aufgabe. Es bedarf einer konzertierten Strategie, um tat- 
sächlich alle möglichen Angriffspunkte abzusichem. 
Grundlage sind die bereits oben genannten Ziele der IT-Si- 
cherheit."^24 Als maßgeblich in diesem präventiven Be- 
reich dürfen die vom BSI entwickelten IT- Grundschutz- 
Kataloge gelten, welche in den Abschnitten Ml bis M5 


Vgl. Basamanowicz, Jonathan/Bouchard, Martin: Overcoming the 
Warez Paradox: Online Piracy Groups and Situational Crime Preven- 
tion. In: Policy & Internet, 3. Jg. 2011, Heft 2, S. 2 m. w. N. 

“^22 Siehe hierzu auch die Ausführungen in Kapitel 2/2. 1.5. 2. 

423 Ygi Eckert, Claudia: IT-Sicherheit: Konzepte - Verfahren - Proto- 
kolle. 7., überarbeitete und erweiterte Auflage 2012, S. 40, die sehr 
anschaulich die Beschreibung einer Kette wählt, die immer nur so 
stark ist wie ihr schwächstes Glied. 

Siehe oben Kapitel 2/2. 1.3. 


(Maßnahmenkataloge) umfangreiche Programme zur 
Vorsorge gegen IT-Risiken enthalten . "*22 Diese betreffen 
die IT-Infrastruktur, organisatorische und personelle 
Maßnahmen auf Untemehmensebene sowie Maßnahmen 
in Bezug auf Hardware und Software. 

2.2.2. 1 Bereitstellung und Installation 
von Patches 

Da Sicherheitslücken in Software nach wie vor der zen- 
trale Angriffspunkt für eine Infektion von Computern 
sind, stellt die Bereitstellung und das zeitgerechte Ein- 
spielen von Softwarekorrekturen, so genannten Patches, 
zum Schließen dieser Lücken eine der wichtigsten Aufga- 
ben im Rahmen der Sicherungsmaßnahmen dar. Als im 
Jahre 2003 der SQL-Slammer-Wurm Schäden in Höhe 
von geschätzt 1 Mrd. Euro verursachte,"'26 hatte Microsoft 
für die Sicherheitslücke, die der Wurm zur Verbreitung 
nutzte, bereits sechs Monate zuvor einen Patch ausgelie- 
fert.427 Nach Schätzungen der amerikanischen Ermitt- 
lungsbehörde Federal Bureau of Investigation (FBI) und 
der Carnegie Mellon University sind 90 Prozent aller Si- 
cherheitsbrüche auf die Ausnutzung von Sicherheitslü- 
cken zurückzuführen, für die bereifs ein Patch verfügbar 
war. 428 Wie bereits erwähnt, gibt es aber auch IT-Systeme, 
insbesondere im mobilen Bereich, für die die Hersfeller 
der Geräte ihren Kunden entweder keine oder extrem ver- 
spätet Updates zur Verfügung sfellen.429 

2.2.2.2 Entwicklung sicherer Software 

Je komplexer die Software wird, desto schwieriger wird 
es, einen Programmcode zu schreiben, der frei von Feh- 
lem ist. 420 Durch die Tendenz zur steigenden Komplexität 


425 Ygi Bundesamt für Sicherheit und Informationstechnik: IT-Grund- 
schutz-Kataloge, Stand: 12. Ergänzungslieferung. September 201 1. 
Online abrufbar unter: https://gsb.download.bva.bund.de/BSI/ITGS 
Kl 2EL/IT-Gmndschutz-Kataloge- 1 2-EL.pdf 

426 Vgl. Lemos, Robert: ,Slammer’ attacks may become way of life for 
Net. CNET, 6. Februar 2003. Online abmfbar unter: http://news. 
cnet.com/2009- 100 l-983540.html 

427 Ygl. Tipton, Harold F./Krause, Micki (Hrsg.): Information Security 
Management Handbook. 6. Auflage 2007, S. 179. 

428 Vgl. ebd. 

429 Zu Sicherheitslücken etwa bei Geräten mit dem mobilen Betriebssys- 
tem Android von Google siehe u. a. Nolte, Susanne: Sicherheitslü- 
cken durch vorinstallierte Android-Apps. heise online, 3. Dezember 
2012. Online abrufbar unter: http://heise.de/-1389329; Eikenberg, 
Roland: HTC bestätigt Sicherheitsleck in Android-Smartphones. hei- 
se online, 4. Oktober 2011. Online abrufbar unter: http://heise.de/- 
1353977; Eikenberg, Roland: Forscher demonstriert Schwächen des 
Android-Rechtesystems, heise online, 21. Dezember 2011. Online 
abrufbar unter: http://heise.de/-1399337; zu Problemen beziehungs- 
weise Verzögerungen bei Updates für das Android Betriebssystem 
siehe u. a. Eckert, Claudia: IT-Sicherheit: Konzepte - Verfahren - 
Protokolle. 7., überarbeitete und erweiterte Auflage 2012, S. 88; sie- 
he ebenfalls Eikenberg, Roland: Kaspersky: Android ist das neue 
Windows, heise online, 23. Mai 2011. Online abrufbar unter: http:// 
heise.de/-1247850; siehe vor allem zu der deutlich stärken Verbrei- 
tung von bereits veralteten System- Versionen auf der Android-Platt- 
form für Entwickler die Ausführungen zu den Plattform- Versionen. 
Online abrufbar unter: http://developer.android.com/resources/dash 
board/platform-versions.html 

430 Zum Problem der steigenden Komplexität von Software siehe Schul- 
ze, Tillmann: Bedingt abwehrbereit. Schutz kritischer Informations- 
Infrastrukturen in Deutschland und den USA. 2006, S. 75 ff. m. w. N. 



Deutscher Bundestag - 17. Wahlperiode 


-57- 


Drucksache 17/12541 


und durch modulare Entwicklungsmodelle steigt die Zahl 
der Sicherheitslücken sowohl absolut als auch relativ."^^* 
Besonders kritisch ist die Ausnutzung von Zero-Day-Ex- 
ploitsd^^ wofür jedoch Programmierkenntnisse erfordern 
sind. Zero-Day-Exploits werden auch gehandelt. Ge- 
gen die Ausnutzung dieser zuvor nicht bekannten Lücken 
durch regelmäßig hochgradig professionelle Angreifer ist 
eine Verteidigung praktisch nicht möglich. Hiergegen 
hilft bestenfalls und auch nur bedingt der Einsatz ausführ- 
lich getesteter Software. Nach Einschätzung des BSl ha- 
ben die Software-Hersteller „ihre Mitverantwortung für 
die IT-Sicherheit erkannt und arbeiten aktiv daran, ihre 
Produkte zu verbessern. Sicherheitslücken werden des- 
halb nicht mehr nur ausschließlich von Dritten ,entdeckt‘, 
sondern auch von den Herstellern selbst gemeldet. Zeit 
bleibt aber nach wie vor ein kritischer Faktor. Zero-Day- 
Angriffe [...] sind mittlerweile die Regel“. 

2.2.2. 3 Schulung der Nutzerinnen und Nutzer 

Wie dargestellt, sind oftmals die Nutzer die zentrale 
Schwachstelle, nicht nur im Fall des Social Engineering. 
Häufig wird die schädliche Software vom den Nutzem 
selbst installiert, weil sie eine bestimmte Funktion ver- 
spricht. "*35 Dieses Problem verschärft sich mit der zuneh- 
menden Bedeutung von Drive-by-lnfections und ähnlicher 
Bedrohungen. Während in einem Untemehmensumfeld 
den normalen Benutzern die Installation von Fremdsoft- 
ware regelmäßig nicht möglich sein sollte, kann die Nut- 
zung des Browsers zumeist schon deshalb nicht verhindert 
werden, weil dieser regelmäßig für die Arbeit benötigt 
wird. So erfreuen sich browserbasierte Spiele, die auf Ad- 
obe Flash basieren, auch auf Computern des Arbeitgebers 
großer Beliebtheit. Adobe Flash ist jedoch, wie bereits 
oben dargelegt,''36 durch eine Reihe von Sicherheitslücken 
betroffen. Auch sind es oftmals die Benutzer, die gängige 
Sicherheitshinweise ignorieren oder nicht kennen. 


Vgl. Gaycken, Sandro: Cyberwar: Das Internet als Kriegsschauplatz. 
2011, S. 55. 

Siehe oben Kapitel 2/2. 1.5.4. Allgemein zu Zero-Day-Exploits und 
Angriffsablauf vgl. Pohl, Hartmut: Zero-Day und Less-than-Zero- 
Day Vulnerabilities und Exploits. Risiken unveröffentlichter Sicher- 
heitslücken. In: Zacharias, Christoph/ter Horst, Klaus W./Witt, Kurt- 
Ulrich/Sommer, Volker/Ant, Marc/Essmann, Ulrich/Mülheims, 
Laurenz (Hrsg.): Forschungsspitzen und Spitzenforschung. Innova- 
tionen an der Fachhochschule Bonn-Rhein-Sieg. Festschrift für Wulf 
Fischer. 2009, S. 113-123. 

433 Ygi ebd., S. 115 f. Die Aussagen insbesondere über Preise basieren 
zumeist auf Vermutungen. Vgl. Ries, Uli/Schmidt, Jürgen: Spekula- 
tionen über Schwarzmarktpreise für Exploits. heise online, 16. Fe- 
bruar 2011. Online abrufbar unter: http://heise.de/-1190694; Miller, 
Charles: The legitimate vulnerability market: the secretive world of 
0-day exploit sales. Draft. Online abrufbar unter: http://securityeva 
luators.com/files/papers/Odaymarket.pdf 

Bundesamt für Sicherheit in der Informationstechnik: BSI-Lagebe- 
richt - Die Lage der IT-Sicherheit in Deutschland 2011. Mai 2011, 
S. 6. Online abrufbar unter: https://www.bsi.bund.de/SharedDocs/ 
Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht20 1 1 _ 
nbf.pdf? blob=publicationFile 

Beliebt sind etwa Mini-Spiele. Insbesondere auf Mobilen Geräten 

stellen die angebotenen Apps eine Gefahr dar. Ein Beispiel findet 

sich in IBM: IBM X-Force 2011 Mid-Year Trend and Risk Report. 

2011, S. 79. Online abrufbar unter: http://www-03.ibm.com/security/ 

landscape.html 

Siehe oben Kapitel 2/2. 1.7.1. 


2.2.2.4 Nutzung sicherer IT-Systeme 

Die Nutzung sicherer IT-Systeme ist eng mit den vorge- 
nannten Strategien verknüpft. Gemeint sind der Einsatz 
und die Pflege eines umfassenden Sicherheitskonzepts. 
Ein solches Konzept muss sowohl auf Hard- und Soft- 
wareebene als auch auf der Ebene der Nutzer ansetzen. 
Die oben beschriebenen Maßnahmen müssen koordiniert 
werden. Dies ist eine komplexe Aufgabe, die von speziell 
geschultem Personal wahrgenommen werden muss. Die 
Aufgaben reichen von der Entwicklung eines Schutzkon- 
zepts bis hin zur Überwachung der Umsetzung und Schu- 
lung der Nutzerinnen und Nutzer. Nicht in jedem Bereich 
kann ein Maximum an Sicherheit gefordert werden, da 
die Kosten für nur geringe Sicherheitszunahmen ab einem 
gewissen Punkt exponentiell steigen können. 

2.2.3 Reaktion auf akute Bedrohungen 

Die Erfahrung zeigt, dass eine Bedrohung, wenn sie erst 
einmal aufgekommen ist, durch konzertierte Maßnahmen 
auch sehr schnell wieder eingedämmt werden kann.437 Vo- 
rausgesetzt, Update-Mechanismen werden genutzt und 
Patches eingespielt, kann eine Sicherheitslücke oftmals 
nur wenige Tage bekannt sein, bevor die durch sie verur- 
sachte Bedrohung wieder beseitigt wird."*^® Hierfür er- 
scheint es jedoch erforderlich zu sein, dass möglichst viele 
Stellen eng Zusammenarbeiten und ihre Kenntnisse aus- 
tauschen. Dies schließt sowohl private als auch staatliche 
Stellen ein.^^s Auch zur Verbesserung des Reaktionsver- 
mögens im Falle des Eintritts von Schäden durch Angriffe 
auf IT-Systeme halten die IT-Gnindschutz-Kataloge des 
BSI umfangreiche Maßnahmen bereit, namentlich Maß- 
nahmenkatalog M6 zur Notfallvorsorge. "^'*0 

2.3 Vorhandene Regelungen und 
Maßnahmen/Status Quo 

Nachfolgend wird ein Blick auf die bereits vorhandenen 
und in Planung befindlichen Regelungen und Maßnah- 
men geworfen, die im Zusammenhang mit der Bekämp- 
fung von Intemetkriminalität stehen. 


Siehe etwa das aufschlussreiche Beispiel hier: Cranton, Tim: Cra- 
cking Down on Botnets. 24. Februar 2010. Online abrufbar unter: 
http://blogs.technet.eom/b/microsoft_on_the_issues/archive/2010/02 
/24/cracking-down-on-botnets.aspx sowie die Beispiele in IBM: 
IBM X-Force 2011 Mid-Year Trend and Risk Report. 2011, S. 45. 
Online abrufbar unter: http://www-935.ibm.com/services/us/iss/xforce 
/trendreports/ 

438 Ygi Gaycken, Sandro: Cyberwar: Das Internet als Kriegsschauplatz. 
2011, S. 52. 

Siehe auch die Hinweise des BSI zu dem Thema: Bundesamt für Si- 
cherheit und Informationstechnik: BSI-Lagebericht - Die Lage der 
IT-Sicherheit in Deutschland 2011. Mai 2011, S. 44. Online abrufbar 
unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Pu 

blikationen/Lageberichte/Lagebericht201 l_nbf.pdf? blob=publica 

tionFile 

440 Ygl. Bundesamt für Sicherheit und Informationstechnik: IT-Grund- 
schutz-Kataloge, Stand: 12. Ergänzungslieferung. September 201 1. 
Online abrufbar unter: https://gsb.download.bva.bund.de/BSI/ITGS 
Kl 2EL/IT-Grundschutz-Kataloge- 1 2-EL.pdf 
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2.3.1 Internationale Regelungen 
und Maßnahmen 

2. 3. 1.1 Cybercrime Convention des 
Europarates von 2001 

Das Übereinkommen über Computerkriminalität des Eu- 
roparates vom 23. November 2001 (englisch: Cybercrime 
Convention, CC) ist in Deutschland am 1 . Juli 2009 in 
Kraft getreten. Es enthält Vorgaben für das materielle 
Strafrecht, das Strafverfahrensrecht und die internationale 
Zusammenarbeit im Bereich der Computerkriminalität. 
Einige Vorgaben sind zwingend, andere dagegen bieten 
Umsetzungsspielraum für die nationalen Staaten . Ziel 
ist in erster Linie die Harmonisierung der Bemühungen 
der Unterzeichnerstaaten sowohl im materiell-rechtlichen 
als auch im prozessualen Bereich. Das Abkommen wurde 
bislang (Stand 17. Juli 2012) von 47 Staaten unterzeich- 
net und davon von 36 Staaten ratifiziert. Darunter sind 
auch einige Staaten, die selbst nicht dem Europarat ange- 
hören. "*43 Die Cybercrime Convention ist jedoch auch 
über ihren Unterzeichnerkreis hinaus von Einfluss auf die 
Gesetzgebung. Insgesamt wird sie somit von mehr als 
100 Staaten weltweit als Basis für das nationale Intemet- 
strafrecht genutzt. Dies entspricht der Intention des Euro- 
parates, die Konvention auch Nichtmitgliedem zugäng- 
lich zu machen. Der Stand der Umsetzung der 
Regelungen ist indes lediglich fragmentarisch, da bislang 
erst etwa zwei Drittel der Unterzeichnerstaaten die Cy- 
bercrime Convention ratifiziert und umgesetzt haben; au- 
ßerhalb der Europäische Union (EU) nur die USA. 

ln strafprozessualer Hinsicht enthält die Cybercrime Con- 
vention in Artikel 23 bis 35 Vorschriften zur internationa- 
len Zusammenarbeit und Rechtshilfe, insbesondere für 
den Fall, dass Beweise in elektronischer Form erhoben 
werden sollen. Geregelt werden die Behandlung von 


Übereinkommen über Computerkriminalität. SEV Nr. 185 vom 
23. November 2001. Online abrufbar unter: http://conventions. 
coe.int/treaty/ger/treaties/html/185.htm; dazu auch Walter, Gregor: 
Intemetkriminalität. Eine Schattenseite der Globalisierung. SWP- 
Studie, Stiftung Wissenschaft und Politik, Deutsches Institut für In- 
ternationale Politik und Sicherheit. Juni 2008, S. 26. Online abrulbar 
unter: http://wvm.swp-berlin.org/fileadmin/contents/products/stu 

dien/2008_S 1 6_walter_ks.pdf 

“^2 Vgl. Gercke, Marco: Analyse des Umsetzungsbedarfs der Cyber- 
crime Konvention - Teil 1 : Umsetzung im Bereich des materiellen 
Strafrechts. In: MultiMedia und Recht (MMR), 7. Jg. 2004, Heft 11, 
S. 728 sowie Gercke, Marco: Analyse des Umsetzungsbedarfs der 
Cybercrime Konvention - Teil 2: Umsetzung im Bereich des Straf- 
verfahrensrechts. In: MultiMedia und Recht (MMR) 7. Jg. 2004, 
Heft 12, S. 801. 

Der aktuelle Stand der Unterzeichnung und Ratifizierung kann abge- 
rufen werden unter http://www.coe.int. 

Vgl. Franosch, Rainer: Schriftliche Stellungnahme, vorgelegt im 
Rahmen des nicht öffentlichen Expertengespräches „Intemetkrimina- 
lität“ der Projektgmppe Zugang, Stmktur und Sicherheit im Netz der 
Enquete-Kommission Internet und digitale Gesellchaft des Deut- 
schen Bundestages vom 5. März 2012, S. 4. Online abmfbar unter: 
http://www.bundestag.de/internetenquete/dokumentation/Zugang_ 
Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-03-05/PGZu 
StrSi_2012 -03-05_Stellungnahme_OStA_Franosch.pdf sowie 
Gercke, Marco: Die Entwicklung des Intemetstrafrechts 2010/2011. 
In: Zeitschrift für Urheber- und Medienrecht (ZUM), 55. Jg. 2011, 
Heft 8/9, S. 609, 610 f 


Rechtshilfeersuchen sowie der grenzüberschreitende Zu- 
griff auf gespeicherte Daten ohne Rechtshilfeersuchen 
und die Errichtung eines 24/7 -Netzwerkes für eine 
schnelle wechselseitige Hilfeleistung. Die Aufgabe des 
Artikel 35 CC übernimmt das auf polizeilicher Ebene ein- 
gerichtete G8 24/7 High Tech Crime Network (HTCN). 
Die deutsche Kontaktstelle ist das Bundeskriminalamt, 
Referat SO 43. 

Als besonders nützlich hat sich für die Praxis''"^^ erwiesen, 
dass bereits durch ein formloses Ersuchen an einen ande- 
ren Vertragsstaat die Vorabsicherung beweisrelevanter 
Daten durch dessen Strafverfolgungsbehörden möglich 
ist. Diese Option der besonders schnellen zwischenstaat- 
lichen Rechtshilfe eröffnet Artikel 29 in Verbindung mit 
Artikel 16 und 17 CC. Der wesentliche Unterschied zur 
klassischen Durchsuchung und Beschlagnahme liegt da- 
rin, dass die betroffenen Provider hierbei nicht nur zur 
Duldung von staatlichen Maßnahmen verpflichtet wer- 
den, sondern einer aktiven Mitwirkungspfiicht unterwor- 
fen sind, wodurch insbesondere die automatische Lö- 
schung der relevanten Daten verhindert wird. Durch die 
auf diese Weise gewonnene Zeit (gemäß Artikel 29 Ab- 
satz 7 CC mindestens 60 Tage) ist es der ersuchenden 
Vertragspartei möglich, ein förmliches Rechtshilfeersu- 
chen zu stellen, um weitere Schritte in die Wege leiten zu 
können. 

Ein Problem, dass sich in der Praxis der Strafverfolgung 
stellt, wird durch das zunehmende Cloud Computing be- 
wirkt. Eine Folge dessen ist, dass die für die Sfrafverfol- 
gung relevanten Daten nicht nur an einem einzigen Ort 
auf einem einzigen Server abgespeichert werden, sondern 
teilweise weltweit an unterschiedlichen Orten, und dies 
ohne Zutun des Dateninhabers oder des Hostproviders. 
Den Strafverfolgungsbehörden ist häufig auch nicht be- 
kannt, an welchem Ort die Daten lagern. Daher geht die 
Möglichkeit des Rechtshilfeersuchens gemäß Artikel 29 
CC nicht selten ins Leere. Ein Auskunftsersuchen nach 
nationalem Recht an den jeweiligen Hostprovider ist zu- 
dem auch nicht in jedem Fall möglich, da die global agie- 
renden Provider nicht in jedem Land, in dem sie ihre Tä- 
tigkeit ausüben, auch Niederlassungen besitzen. Eine 
Regelung, nach der eine Strafverfolgungsbehörde auch an 
einen ausländischen Provider ein Auskunftsersuchen stel- 
len könnte, sofern dieses ausschließlich Inlandsbezug 
aufweist, gibt es in der Cybercrime Convention bislang 
nicht. Das Problem wurde aber bereits von den Ver- 
tragsparteien erkannt und wird seit November 2011 durch 


Siehe hierzu die Darstellung bei Franosch, Rainer: Schriftliche Stel- 
lungnahme, vorgelegt im Rahmen des nicht öffentlichen Expertenge- 
spräches „Intemetkriminalität“ der Projektgmppe Zugang, Stmktur 
und Sicherheit im Netz der Enquete-Kommission Internet und digita- 
le Gesellchaft des Deutschen Bundestages vom 5. März 2012, S. 1 f. 
Online abmfbar unter: http://www.bundestag.de/interaetenquete/do 
kumentation/Zugang_Stmktur_und_Sicherheit_im_Netz/PGZuStr Si_ 
2012-03-05/PGZuStrSi_2012-03-05_Stellungnahme_OStA_Franosch. 
pdf 

Eine vergleichbare Regelung enthält beispielsweise das Schengener 
Durchfühmngsabkommen in Artikel 52. Siehe zum Problem: Franosch, 
Rainer: Schriftliche Stellungnahme, vorgelegt im Rahmen des nicht 
öffentlichen Expertengespräches „Intemetkriminalität“ der Projekt- 
gmppe Zugang, Stmktur und Sicherheit im Netz der Enquete-Kom- 
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eine Ad-hoc-Untergruppe bearbeitet, deren Ergebnisse 
abzuwarten bleiben. 

Die Cybercrime Convention ist auch in die Kritik geraten. 
Bemängelt wird die zunehmende Datenspeicherung, die 
Realzeitdatenerfassung, die vorgerichtliche Inpflicht- 
nahme der Internet Service Provider zu Ermittlungs- und 
Strafverfolgungszwecken (Sektion 2) sowie die Möglich- 
keit präventiver Ermittlungen ohne konkreten Tatver- 
dacht. Zudem ist kritisiert worden, dass nicht alle koope- 
rierenden Staaten gängige rechtsstaatliche Standards 
erfüllen. Des Weiteren wird eine Überkriminalisierung 
von Bagatellfällen befürchtet."'"'^ 

Abseits der Cybercrime Convention hat sich der Europa- 
rat mit Problemen beschäftigt, die sich den nationalen 
Strafverfolgungsbehörden bei der internationalen Be- 
kämpfung von Intemetkriminalität stellen. Der Europarat 
hat dazu auf Grundlage einer zuvor durchgeführten Stu- 
die"t"'9 Richtlinien entwickelt, die als Vorbild für die Zu- 
sammenarbeit von Strafverfolgungsbehörden und Inter- 
netdiensteanbietem gelten sollen."'^*' Dabei stand jedoch 
weniger die Ausgestaltung der behördlichen Befugnisse, 
insbesondere etwaige Schwierigkeiten bei der Strafver- 
folgung, die aus unzureichender Gesetzgebung resultie- 
ren und durch solche folglich beseitigt werden könnten, 
im Fokus. Vielmehr hat die Studie ergeben, dass neben ei- 
nigen generellen Problemen, die sich im Rahmen der Zu- 
sammenarbeit zwischen Strafverfolgungsbehörden und 
Intemetdiensteanbietem stellen, auch diverse Bad Practi- 
ces seitens beider Parteien zu verzeichnen sind. Zu den 
generellen Problemen zählt u. a., dass Anfragen von den 
beziehungsweise an die Behörden oder Anbieter Gefahr 
laufen, unvollständig und weniger sorgfältig bearbeitet zu 
werden, wenn keine klar definierten Kommunikations- 
strukturen existieren."'^' Des Weiteren wurde in der Studie 
die Sorge zum Ausdruck gebracht, dass für das wach- 
sende Aufkommen an Anfragen zwischen den Parteien 


mission Internet und digitale Gesellchaft des Deutschen Bundestages 

vom 5. März 2012, S. 3. Online abrufbar unter: http://www.bundes 

tag.de/intemetenquete/dokumentation/Zugang_Struktur_und_Sicher 

heit_im_Netz/PGZuStrSi_2012-03-05/PGZuStrSi_2012-03-05_Stel 

lungnahme_OStA_Franosch.pdf 

Vgl. ebd. 

Vgl. Electronic Privacy Information Center (EPIC): The Council of 
Europe’s Convention on Cybercrime. Dezember 2005. Online abmf- 
bar unter: http://epic.org/privacy/intl/ccc.html 
Siehe hierzu Callanan, Cormac/Gercke, Marco: Co-operation bet- 
ween Service providers and law enforcement against cybercrime - to- 
wards common best-of-breed guidelines? Version 1.0. 17. März 
2008. Online abmfbar unter: http://www.coe. int/t/dghl/cooperation/ 
economiccrime/cybercrime/cy_activity_interface2008/567%20prov- 
d-wg%20STUDY%20FINAL%20%282%29.pdf 
450 Ygi Europarat: Guidelines for the Cooperation between law enforce- 
ment and internet Service providers against cybercrime, adopted by 
the global Conference Cooperation against Cybercrime, 1-2 April 
2008. 2. April 2008. Online abmibar unter: http://www.coe.int/t/in 
formationsociety/documents/Guidelines_cooplaw_ISP_en.pdf; näher 
zum Entstehungsprozess der Richtlinien: Gercke, Marco: Die Ent- 
wicklung des Intemetstrafrechts im Jahr 2008. In: Zeitschrift für Ur- 
heber- und Medienrecht (ZUM), 53. Jg. 2009, Heft 7 , S. 526, 531. 
Siehe Callanan, Cormac/Gercke, Marco: Co-operation between Ser- 
vice providers and law enforcement against cybercrime - towards 
common best-of-breed guidelines? Version 1.0. 17. März 2008, 
S. 52. Online abmfbar unter: http://www.coe. int/t/dghl/cooperation/ 
economiccrime/cybercrime/cy_activity_interface2008/567%20prov- 
d-wg%20STUDY%20FINAL%20%282%29.pdf 


auf beiden Seiten nicht genügend Ressourcen zur Verfü- 
gung sfehen könnten . "*^2 2u den Bad Practices zählt der 
Studie zufolge auf Seiten der Anbieter beispielsweise, 
dass angesichts zahlreicher paralleler Anfragen intern 
kein System zur Priorisierung oder Kategorisierung zur 
Verfügung steht, während auf Seiten der Behörden bei- 
spielsweise zu vermerken sei, dass unvollständige Ant- 
worten auf oder Ablehnungen von Anfragen hingenom- 
men würden. "*52 

Die entwickelten Richtlinien sind in weiten Teilen eher in 
Form von Vorschlägen gehalten. Diese enthalten daher 
sowohl gemeinsame Prinzipien, die einerseits für die In- 
temetdiensteanbiefer und andererseits für die Strafverfol- 
gungsbehörden gelten sollen, als auch Anregungen zu 
spezifischen Maßnahmen. Beispielsweise werden die 
Etablierung eines Verfahrens zur Verifizierung der anfra- 
genden Behörde, ein regelmäßiger Austausch sowie die 
Meldung von relevanten Vorfällen durch die Anbiefer an 
die Behörden genannt. "'5"' Indes handelt es sich tatsächlich 
lediglich um Richtlinien ohne jeden bindenden Charak- 
ter."'« 

2.3. 1.2 G8: Subgroup on High-Tech Crime 

Die Subgroup on High Tech Crime (HTCSG) ist eine von 
sechs Unterarbeitsgruppen der G8 Roma/Lyon Arbeits- 
gruppe. Die aktuelle Arbeit der HTCSG ist durch die 
Bedrohungen auf dem Gebiet der Informations- und 
Kommunikationstechnologien (IKT) und den sich daraus 
für die Strafverfolgungsbehörden ergebenden Herausfor- 
derungen geprägt. Die HTCSG beschäftigt sich haupt- 
sächlich mit folgenden Problemen beziehungsweise He- 
rausforderungen, den so genannten Issues of Concem: 
Angriffe auf IKT, Verbreitung von Schadsoftware (zum 
Beispiel durch Botnetze), internationale Zusammenarbeit 
im Rahmen der Strafverfolgung, Fragen im Zusammen- 
hang mit Missbrauchsmöglichkeiten neu aufkommender 
Technologien und Vorbeugung im Zusammenhang mit 
Cyber-Kriminalität (zum Beispiel Zusammenarbeit mit 
Intemet-Service-Providem). Ein besonderes Instrument 
ist das G8 24/7-Netzwerk Computerkriminalität, mit dem 
zu Strafverfolgungszwecken ohne zeitraubende Formali- 
täten das Einfrieren digitaler Spuren im Kreise der Mit- 
gliedstaaten (derzeit über 50) erbeten werden kann. 

2.3. 1.3 London Conference on Cyberspace 

Am 1. und 2. November 2011 wurde die vom britischen 
Außenministerium ausgerichtete London Conference on 


«2 Siehe ebd. 

«3 Siehe ebd., S. 53 f. 

Siehe Europarat: Guidelines for the Cooperation between law 
enforcement and internet Service providers against cybercrime, adop- 
ted by the global Conference Cooperation against Cybercrime, 1-2 
April 2008. 2. April 2008. Online abrufbar unter: http://www.coe.int/ 
t/informationsociety/documents/Guidelines_cooplaw_ISP_en.pdf 
455 Ygi Cornelius, Kai in: Leupold, Andreas/Glossner, Silke (Hrsg.): 
Münchner Anwaltshandbuch IT-Recht. 2008, Teil 10, Rn. 43. 

Siehe generell zur G8 Roma/Lyon Arbeitsgruppe: Auswärtiges Amt: 
Rom-/Lyongruppe der G8. Online abrufbar unter: http://www.auswaer 
tiges-amt.de/DE/Aussenpolitik/GlobaleFragen/G8/G8-Lyon-Gruppe 
node.html 
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Cyberspace abgehalten. Dabei handelt es sich um ein in- 
ternationales Treffen von Vertretern aus Politik, Industrie, 
der Internet-Gemeinschaft und privaten Organisationen 
aus insgesamt 60 Ländem.''^^ Die Konferenz soll nach 
dem Willen der Teilnehmer in Zukunft jährlich wieder- 
holt werden und u. a. der internationalen Konsensbildung 
darüber dienen, wie Intemetkriminalität wirksam be- 
kämpft werden kann.'*^* Bindende Beschlüsse oder Ver- 
träge waren jedoch - zumindest im Jahr 201 1 - nicht Ziel 
der Konferenz, stattdessen sollte die Debatte im Vorder- 
grund stehen. Die Intemetkriminalität war nur eines 
von mehreren Kemthemen der Konferenz, doch standen 
bei der Diskussion über die Rolle des Staates im Internet 
Aspekte der Überwachung und Identifizierung der Nutzer 
im Vordergmnd. So zeichneten sich im Wesentlichen 
zwei Lager ab: auf der einen Seite die Befürworter einer 
strengeren Reguliemng des Internets auf internationaler 
Ebene, insbesondere Russland und China, auf der anderen 
Seite diejenigen Staaten, die für eine maßvolle Regulie- 
mng plädierten, so beispielsweise die USA und Großbri- 
tannien.'*“ Die Folgekonferenz fand vom 3. bis 5. Okto- 
ber 2012 in Budapest statt. 

2.3.1 .4 Bestrebungen auf Ebene der Vereinten 
Nationen (United Nations, UN) 

Die Vereinten Nationen haben sich schon vielfach mit 
Fragen der Intemetkriminalität auseinandergesetzt, je- 
doch oft eher in abstrakter Weise oder nur mit spezifi- 
schen Einzelaspekten. Ein Beispiel dafür ist die Erfor- 
schung und Bekämpfung des Deliktsbereichs des 
Identitätsdiebstahls (Identity-related Crime). Das United 
Nations Office on Dmgs and Crime (UNODC) hat zu die- 
sem Zweck eine gemeinsame Plattform für Akteure aus 
dem öffentlich-rechtlichen Sektor, der Wirtschaft sowie 
anderen Organisationen auf regionaler und internationaler 
Ebene errichtet, auf der diese sich regelmäßig durch eine 
Expertengmppe austauschen können.'*“ Im selben Rah- 


457 Ygi Foreign & Commonwealth Office/UK: London Conference on 
Cyberspace: Chair’s Statement. 2. November 2011. Online abrufbar 
unter: https://www.gov.uk/govemment/news/london-conference-on- 
cyberspace-chairs-statement?id=685663282&view=PressS 

458 Ygi Yolkery, Carsten: Internet-Konferenz: Nationen streiten um die 
Freiheit des Netzes. Spiegel Online, 2. November 2011. Online ab- 
mfbar unter: http://www.spiegel.de/netzwelt/netzpolitik/intemet-kon 
ferenz-nationen-streiten-um-die-freiheit-des-netzes-a-795376.html 
Siehe die abschließenden Anmerkungen des britischen Außenminis- 
ters: Foreign & Commonwealth Office/UK: Foreign Secretary’s clo- 
sing remarks at the London Conference on Cyberspace. 2. November 
2011. Online abmfbar unter: https://www.gov.uk/govemment/spee 
ches/foreign-secretarys-closing-remarks-at-the-london-conference-on 
-Cyberspace 

460 Ygl. Volkery, Carsten: Internet-Konferenz: Nationen streiten um die 
Freiheit des Netzes. Spiegel Online, 2. November 2011. Online ab- 
mfbar unter: http://www.spiegel.de/netzwelt/netzpolitik/intemet-kon 
ferenz-nationen-streiten-um-die-freiheit-des-netzes-a-795376.html; 
siehe auch Lawless, Jill: London Conference On Cyberspace: Cyber 
Crime Is Not ‘Justification For States To Censor Citizens’. The Huf- 
fmgton Post, 1. November 2011. Online abmfbar unter: http://www. 
huffingtonpost.com/20 11/1 1 /02/london-conference-on-cyberspace_n 
_1071242.html 

Siehe ausführlich die Webseite zur Budapest Conference on Cyber- 
space unter: http://www.cyberbudapest2012.hu 
Siehe United Nations Office on Dmgs and Crime (UNDOC): Orga- 
nized Crime. Emerging Crimes. Identity-related crime. Online abmf- 


men wurde zudem eine Studie zu den internationalen As- 
pekten des Identitätsdiebstahls veröffentlicht.'*'^^ Einen 
Schritt hin zu umfassenderen Maßnahmen auch seitens 
der UN-Organisationen haben die Vereinten Nationen im 
Rahmen des UN Crime Congress im April 2010 in Brasi- 
lien getan.'*“ Als Ergebnis des Kongresses wurde festge- 
halten, dass die UN bei der Harmonisierung nationaler le- 
gislativer Maßnahmen anhand eigener UN-Standards 
mitwirken sollte.'*®^ Damit haben sich die Vereinten Na- 
tionen gegen die Empfehlung der Cybercrime Convention 
des Europarates als weltweiten Standard entschieden. '*'5*’ 
Stattdessen wurde eine eigene Expertengruppe eingesetzt, 
die Lösungsansätze für Probleme der Intemetkriminalität 
entwickeln soll. Die eingesetzte Expertengmppe hat ihre 
Arbeit inzwischen aufgenommen. '*^’^ Die Bundesrepublik 
Deutschland hat zu diesem Zweck Mitarbeiter aus dem 
Bundesministerium der Justiz (BMJ), dem BKA sowie 
der deutschen Vertretung bei den Vereinten Nationen ent- 
sandt.'*^* Der UN Crime Congress hat überdies seinen 
Willen bekundet, in Zukunft generell eine stärkere Rolle 
bei der Unterstützung der Entwicklungsländer bei Maß- 
nahmen gegen die Intemetkriminalität einzunehmen.'*®^ 


bar unter: http://www.unodc.org/unodc/en/organized-crime/emerging- 
crimes.html#Identity_related_crime; United Nations Office on Dmgs 
and Crime (UNDOC): UNODC Response to Identity-related Crime. 
Online abmfbar unter: http://www.unodc.org/unodc/en/organized- 
crime/identity-related-crime.html; vgl. auch die als Basis dieser 
Maßnahme dienenden Resolutionen des Wirtschafts- und Sozialrates 
der Vereinten Nationen (ECOSOC) 2004/26, 2007/20 und 2009/22, 
abmfbar über dieselbe Webseite. 

Die Study on Fraud and the criminal misuse andfalsiflcation of iden- 
tity, einschließlich aller Anhänge ist online erreichbar unter: United 
Nations Office on Dmgs and Crime (UNDOC): UNODC Response 
to Identity-related Crime. Study on identity-related crime. Online ab- 
mfbar unter: http://www.unodc.org/unodc/en/organized-crime/identi 
ty-related-crime.html 

Informationen zum Twelfth United Nations Congress on Crime Pre- 
vention and Criminal Justice sind online abmfbar unter: https:// 
www.unodc.org/unodc/en/crime-congress/12-crime-congress.html 
Siehe insbesondere Punkt 4 der Abschlusserklämng des Kongresses: 
Salvador Declaration on Comprehensive Strategies for Global Chal- 
lenges: Crime Prevention and Criminal Justice Systems and Their 
Development in a Changing World. Online abmfbar unter: http:// 
www.unodc.org/documents/crime-congress/12th-Crime-Congress/ 
Documents/SalvadorDeclaration/SalvadorDeclarationE.pdf 
466 Vgl. Gercke, Marco: Die Entwicklung des Interaetstrafrechts 2009/ 
2010. In: Zeitschrift für Urheber- und Medienrecht (ZUM), 54. Jg. 

2010, Heft 8/9, S. 633,635. 

Siehe zu weiterführenden Informationen über das erste Treffen der 
Expertengmppe im Januar 2011: United Nations Office on Dmgs and 
Crime (UNDOC): Open-ended intergovemmental expert group to 
conduct a comprehensive study of the problem of cybercrime. Wien, 
17. bis 21. Januar 2011. Online abmfbar unter: https://www.unodc. 
org/unodc/en/expert-group-to-conduct-study-cybercrime-jan-20 1 1 . 
html 

Siehe die Teilnehmerliste der Expertengmppe: United Nations Office 
on Dmgs and Crime (UNDOC): List of Participants. Open-ended in- 
tergovemmental expert group on cybercrime. Wien, 17. bis 21. Januar 

2011. UNODC/CCPCJ/EG.4/2011/INF/2/Rev.l. Online abmfbar unter: 
https://www.unodc.org/documents/treaties/organized_crime/EGM_ 
cybercrime_ 20 1 1 AJNODC_CCPC J_EG4_20 1 l_INF_2_Rev 1 .pdf 
Siehe insbesondere Punkt 53 der Abschlusserklärung des Kongres- 
ses: Salvador Declaration on Comprehensive Strategies for Global 
Challenges: Crime Prevention and Criminal Justice Systems and 
Their Development in a Changing World. Online abmfbar unter: 
http://www.unodc.org/documents/crime-congress/12th-Crime-Con 
gress/Documents/Salvador_Declaration/Salvador_Declaration_E.pdf 
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Weiterhin wurde das Thema IT-Sicherheit auch beim 
sechsten Jahrestreffen des Internet Govemance Forums 
(IGF) der Vereinten Nationen im Jahr 2011 in Nairobi 
diskutiert. '*^0 Das IGF besitzt lediglich eine beratende 
Funktion, bietet jedoch eine Plattform für den Austausch 
unterschiedlicher Interessen. Das siebente Jahrestreffen 
fand vom 6. bis 9. November 2012 in Baku statt. 

2.3.2 Europäische Regelungen 
und Maßnahmen 

Durch den Vertrag von Lissabon wurde mit Artikel 83 
Absatz 1 des Vertrags über die Arbeitsweise der Euro- 
päischen Union (AEUV)''’^ eine Grundlage für Maßnah- 
men im Bereich der Computerkriminalität im Rahmen der 
EU geschaffen. Die EU ist demnach ermächtigt, Richtli- 
nien zur Mindestregelung von Straftaten und Strafen zu 
erlassen. 

2. 3.2.1 Maßnahmen nach dem Stockholmer 
Programm 

Im Bereich des Strafrechts erklärt das Stockholmer Pro- 
gramm'^'^^ aus dem Jahr 2009 die Entwicklung von gemein- 
samen Minimalstandards im Bereich der Kinderpomogra- 
fie und der Intemetkriminalität zur Priorität der unter dem 
Vertrag von Lissabon notwendigen Harmonisierimgsbestre- 
bungen."*’"* Im April 2010 veröffentlichte die EU-Kommis- 
sion einen Aktionsplan zur Umsetzung des Programms, der 
die angestrebten Maßnahmen konkretisierte.'*^^ Zu nennen 
sind eine Richtlinie zur Bekämpfung der Kinderpomogra- 
fie,'*’^ die Unterbindung der Geldtransferprozesse im Zu- 


Siehe hierzu: IGF Internet Govemance Fomm: 2011 IGF: Nairobi. 
Online abmfbar unter: http://intgovfomm.org/cms/20Il-igf-nairobi 

471 Siehe hierzu: IGF Internet Govemance Fomm: 2012 IGF: Baku. 
Online abmfbar unter: http://intgovfomm.org/cms/2012-igfbaku 

472 Konsolidierte Fassung des Vertrags über die Arbeitsweise der Euro- 
päischen Union, ABI. C 1 15 vom 9. Mai 2008, S. 47-388. Online ab- 
mfbar unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do7uri 
=OJ:C:2008:115:FULL:DE:PDF 

473 Das Stockholmer Programm ist ein Programm der EU mit Richtlini- 
en für eine gemeinsame Innen- und Sicherheitspolitik der Mitglied- 
staaten für die Jahre 2010 bis 2014. Siehe hierzu: Europäischer Rat: 
Das Stockholmer Programm - Ein offenes und sicheres Europa im 
Dienste und zum Schutz der Bürger. ABI. C 115 vom 4. Mai 2010, 
S. 1-38. Online abmfbar unter: http://eur-lex.europa.eu/LexUriServ/ 
LexUriServ.do?uri=OJ:C:2010:115:0001:0038:DE:PDF 

474 Europäischer Rat: Das Stockholmer Programm - Ein offenes und si- 
cheres Europa im Dienste und zum Schutz der Bürger. ABI. C 115 
vom 4. Mai 2010, Kapitel 3.3, S. 14. Online abmfbar unter: http:// 
eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010: 115:00 
01:0038:DE:PDF 

475 Mitteilung der Kommission an das Europäische Parlament, den Rat, 
den Europäischen Wirtschafts- und Sozialausschuss und den Aus- 
schuss der Regionen - Ein Raum der Freiheit, der Sicherheit und des 
Rechts für die Bürger Europas - Aktionsplan zur Umsetzung des 
Stockholmer Programms. KOM(2010)171 endgültig vom 20. April 
2010. Online abmfbar unter: http://eur-lex.europa.eu/LexUriServ/ Lex 
UriServ.do?uri=COM:2010:0171:FIN:DE:PDF; zu diesem Plan und 
den vorgeschlagenen Maßnahmen eingehend: Gercke, Marco: Die 
Entwicklung des Intemetstrafrechts 2010/2011. In: Zeitschrift für Ur- 
heber- und Medienrecht (ZUM), 55. Jg. 2011, Heft 8/9, S. 609, 612. 

476 Vorschlag für eine Richtlinie des Europäischen Parlaments und des 
Rates zur Bekämpfung des sexuellen Missbrauchs und der sexuellen 
Ausbeutung von Kindern sowie der Kinderpomografie und zur Auf- 
hebung des Rahmenbeschlusses 2004/68/JI des Rates. KOM(2010) 94 


sammenhang mit Kinderpomografie im Internet mittels 
Public-Private-Partnerships (PPP) sowie eine weitere För- 
derung von Maßnahmen im Rahmen des Safer Internet 
Action PlanA'^'^ Im Rahmen der Bekämpfung der Compu- 
terkriminalität werden unter anderem Maßnahmen zur 
Stärkung der Netz- und Informationssicherheitspolitik so- 
wie Maßnahmen zur schnellen Reaktion auf Cyber-An- 
griffe vorgeschlagen. Darüber hinaus wird angeregt, ge- 
setzliche Regelungen für den Fall von Angriffen auf 
Informationssystem zu erlassen. Auch der Aufbau einer 
europäischen Plattform zur Meldung von Straftaten, die 
Ausarbeitung eines EU-Musterabkommens für Public-Pri- 
vate-Partnerships zur Bekämpfung der Computerkrimina- 
lität, Maßnahmen zur gerichtlichen Zuständigkeit in Be- 
zug auf den Cyberspace sowie die Ratifizierung der 
Cybercrime Convention des Europarates werden vorge- 
schlagen. 

2.3.2.2 EU-Initiative: Safer Internet Actlon Plan 
(Nunmehr: Safer Internet plus 
Programme)'*^® 

Der EU-Aktionsplan Safer Internet dient nach der Vor- 
stellung der Europäischen Kommission dazu, in ihren 
Mitgliedstaaten auf Chancen und Risiken des Internets 
aufmerksam zu machen. Kern des Safer Internet Action 
Plans ist die Einrichtung und der Betrieb einer Reihe von 
Websites und Hotlines, die aufklären sowie die Möglich- 
keit der Meldung schädlicher Inhalte bieten sollen. Er- 
klärtes Ziel ist es, Eltern und Kinder für die Probleme il- 
legaler Inhalte zu sensibilisieren. Ein weiteres Element ist 
die Zusammenarbeit von Strafverfolgungsbehörden, ins- 
besondere um von Nutzerinnen und Nutzem gemeldete 
Straftaten im Internet grenzüberschreitend zu verfolgen. 
Dafür hat die EU-Kommission im Mai 2012 eine Neue 
Strategie für ein sicheres Internet und bessere Online-In- 
halte für Kinder und Jugendliche vorgestellt.''*® 

2.3.2. 3 Entwurf EU-Richtllnle über Angriffe 
auf Informationssysteme 

Auf den Rahmenbeschluss über Angriffe auf Informa- 
tionssysteme'*** aus dem Jahr 2005 folgte der von der 


endgültig/2 vom 4. November 2011. Online abmfbar unter: http:// 
eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:20 10:0094: 
REV1:DE:PDF 

477 Dazu sogleich Kapitel 2123 . 2 . 2 . 

478 Eingehend: Gercke, Marco: Die Entwicklung des Intemetstrafrechts 
2010/2011. In: Zeitschrift für Urheber- und Medienrecht (ZUM), 
55. Jg. 2011, Heft 8/9, S. 609, 612. 

479 Informationen zum Safer Internet Programme sind online abmfbar 
unter: http://ec.europa.eu/information_society/activities/sip/policy/ 
programme/index en.htm; siehe Walter, Gregor: Intemetkriminalität. 
Eine Schattenseite der Globalisiemng. SWP-Studie, Stiftung Wissen- 
schaft und Politik, Deutsches Institut für Internationale Politik und 
Sicherheit. Juni 2008, S. 28. Online abmfbar unter: http://www.swp- 
berlin.org/fileadmin/contents/products/studien/2008_S16_walter_ks.pdf 

480 Siehe Europäische Kommission: Digitale Agenda: Neue Strategie für 
ein sicheres Internet und bessere Online-Inhalte für Kinder und Ju- 
gendliche. Pressemitteilung IP/12/445 vom 2. Mai 2012. Online ab- 
mfbar unter: http://europa.eu/rapid/press-release_IP-12-445_de.htm? 
locale=en 

481 Rahmenbeschluss 2005/222/JI des Rates vom 24. Febmar 2005 über 
Angriffe auf Informationssysteme, ABI. L 69 vom 16. März 2005, 
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EU-Kommission im November 2010 vorgelegte Vor- 
schlag für eine Richtlinie über Angriffe auf Informations- 
systeme."^*^ Der Vorschlag enthält weitere Harmonisie- 
rungsbestrebungen und dient dem Zweck, auch auf neuere 
Angriffsformen, insbesondere aus Botnetzen, zu reagie- 
ren. Die Vorgaben der Richtlinie dürften in Deutschland 
kaum einer weiteren Umsetzung bedürfen. 

2.3.2.4 ENISA 

Die Europäische Agentur für Netz- und Informationssi- 
cherheit (ENISA) ist eine 2004 durch Verordnung"**"* ge- 
schaffene Einrichtung, deren Ziel die Verbesserung der 
Netz- und Informationssicherheit in Europa ist"**^ und die 
als Think Tank und Analysezentrum die Mitgliedstaaten 
und andere EU-Einrichtungen in Fragen der IT-Sicherheit 
beraten soll."**^ ENISA hat allein in jüngster Vergangen- 
heit zahlreiche Untersuchungen zu diversen Aspekten der 
IT-Sicherheit veröffentlicht, die sich u. a. mit Botnet- 
zen"t87. Web Standards"*** sowie den Sicherheitsrisiken im 
Zusammenhang mit Cookies"**^ oder Apps für mobile 
Endgeräte"*^** befassen."*^* Zu den Aufgaben von ENISA 


S. 67-71. Online abrufbar unter: http://eur-lex.europa.eu/LexUri 
Serv/LexUriServ.do?uri=OJ:L:2005:069:0067:0071:DE:PDF 

482 Vorschlag für eine Richtlinie des Europäischen Parlaments und des 
Rates über Angriffe auf Informationssysteme und zur Aufhebung des 
Rahmenbeschlusses 2005/222/JI des Rates. {SEK(2010) 1122 final} 
{SEK(2010) 1123 final}. KOM(2010)517 endgültig vom 30. Sep- 
tember 2010. Online abrufbar unter: http://eur-lex.europa.eu/LexUri 
Serv/LexUriServ.do?uri=COM:2010:0517:FIN:DE:PDF 
Näher: Gercke, Marco: Die Entwicklung des Intemetstrafrechts 
2010/2011. In: Zeitschrift für Urheber- und Medienrecht (ZUM), 
55. Jg. 2011, Heft 8/9, S. 609, 613. 

484 Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des 
Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur 
für Netz- und Informationssicherheit. Text von Bedeutung für den 
EWR. ABI. L 77 vom 13. März 2004, S. 1-1 1 . Online abrufbar unter: 
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004: 
077:0001:0011:DE:PDF 

Nähere Informationen zu ENISA sind online verfügbar unter: http:// 
www.enisa.europa.eu/about-enisa 

486 Vgl. MMR-Aktuell: EU: Mandat für ENISA verlängert, 318598. 
Ausgabe 11/2011 vom 7. Juni 2011. Online abrufbar unter: http:// 
beck-online.beck. de/Default. aspx?vpath=bibdata/zeits/MMRAktuell/ 
20 1 1 /Y-300.Z-MMRAktuell.B-20 1 1 .H- 1 1 .htm 
Siehe hierzu: European Network and Information Security Agency 
(ENISA): Botnets: Measurement, Detection, Disinfection and De- 
fence. 7. März 2011. Online abrufbar unter: http://www.enisa.europa. 
eu/activities/Resilience-and-CIIP/critical-applications/botnets/botnets 
-measurement-detection-disinfection-and-defence 
Siehe hierzu: European Network and Information Security Agency 
(ENISA): A Security Analysis of Next Generation Web Standards. 
31. Juli 2011. Online abrufbar unter: http://www.enisa.europa.eu/ac 
tivities/Resilience-and-CIIP/critical-applications/web-security/a-secu 
rity-analysis-of-next-generation-web-standards 
Siehe hierzu: European Network and Information Security Agency 
(ENISA): Bittersweet cookies. Some security and privacy considera- 
tions. 2. Februar 2011. Online abrufbar unter: http://www.enisa.euro 
pa.eu/activities/identity-and-trust/library/pp/cookies 
Siehe hierzu: European Network and Information Security Agency 
(ENISA): Appstore security: 5 lines of defence against malware. 
12. September 2011. Online abrufbar unter: http://www.enisa.europa. 
eu/activities/Resilience-and-CIIP/critical-applications/smartphone-se 
curity-l/appstore-security-5-lines-of-defence-against-malware 
Ein Überblick über ENISAs Publikationen im Bereich „Awareness 
Raising“ seit 2005 vom 12. April 2012 ist abrufbar unter: http:// 


gehört auch die regelmäßige Anfertigung von Berichten 
über die IT-Sicherheit in der EU. "*^2 

Das Mandat für ENISA ist erst kürzlich durch Verord- 
nung bis zum 13. September 2013 verlängert worden."*^* 
Derzeit ist zudem eine Modernisierung des Mandats in 
Beratung, durch das ENISA eine stärkere Rolle bei der 
Verhütung, Erkennung und Bewältigung von Störungen 
der Netz- und Informationssicherheit innerhalb der EU 
einnehmen würde. 

2.3.2. 5 Einrichtung eines europäischen 
iT-Notfaiiteams 

Ebenfalls in Vorbereitung ist die Einrichtung eines IT- 
Notfallteams (GERT - Computer Emergency Response 
Team) für die IT-Infrastrukturen der EU-Organe, das so 
genannte iCERT@eu. 

Parallel zu den Planungen hat ENISA im Juni 2011 zu- 
dem eine Bestandsaufnahme der in der EU vorhandenen 
CERTs veröffentlicht. "*^5 Diese sollen nach dem Willen 
der Digitalen Agenda"*^^ der EU-Kommission und des Ra- 
tes zufolge Teil eines bis 2012 aufzubauenden, europa- 
weiten Netzwerkes von CERTs sein, mit dessen Hilfe es 
möglich werden soll, gezielter und umfassender auf zu- 
künftige Angriffe auf IT-Systeme zu reagieren. "*^^ In der 


www.enisa.europa.eu/activities/cert/security-month/deliverables/over 
view. Eine Gesamtübersicht über die Publikationen von ENISA ist 
online abrufbar unter: http://www.enisa.europa.eu/publications 
Siehe European Network and Information Security Agency (ENISA): 
Cyber Europe 2010 Report. 18. April 2011. Online abrufbar unter: 
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-cri 
sis-cooperation/cyber-europe/ce20 1 0/ce20 1 Oreport 
Verordnung (EU) Nr. 580/2011 des Europäischen Parlaments und des 
Rates vom 8. Juni 2011 zur Änderung der Verordnung (EG) Nr. 460/ 
2004 zur Errichtung der Europäischen Agentur für Netz- und Infor- 
mationssicherheit bezüglich deren Bestehensdauer. Text von Bedeu- 
tung für den EWR. ABI. L 165 vom 24. Juni 2011, S. 3 - 4 . Online 
abrufbar unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do? 
uri=OJ:L:2011:165:0003:0004:DE:PDF 

Siehe die Pressemitteilung: Rat der Europäischen Union: 3093. Ta- 
gung des Rates Verkehr, Telekommunikation und Energie. TELEKOM- 
MUNIKATION. Pressemitteilung PRES/11/145 vom 27. Mai 2011. 
Online abrufbar unter: http://europa.eu/rapid/press-release_PRES- 
1 l-145_de.htm?locale=en sowie den zugehörigen Sachstandsbericht: 
Rat der Europäischen Union: Sachstandsbericht 10296/11: Vorschlag 
für eine Verordnung des Europäischen Parlaments und des Rates über 
die Europäische Agentur für Netz- und Informationssicherheit 
(ENISA). 19. Mai 2011. Online abrufbar unter: http://register.consi 
lium. europa. eu/pdf/ de/ 1 1 /st 1 0/st 1 0296 . de 1 1 .pdf 
Siehe hierzu: European Network and Information Security Agency 
(ENISA): Inventory of CERT activities in Europe. 3. Dezember 
2012. Online abrufbar unter: http://www.enisa.europa.eu/activities/ 
cert/background/inv/files/inventory-of-cert-activities-in-europe 
Siehe die Mitteilung der Kommission an das Europäische Parlament, 
den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den 
Ausschuss der Regionen: Eine Digitale Agenda für Europa. 
KOM(20 10)245 endgültig/2 vom 26. August 2010. Nicht im Amts- 
blatt veröffentlicht. Online abrufbar unter: http://eur-lex.europa.eu/ 
LexUriServ/LexUriServ.do?uri=COM:2010:0245:FIN:DE:PDF so- 
wie unter Europäische Kommission: Digital Agenda for Europe. A 
Europe 2020 Initiative. Online abrufbar unter: http://ec.europa.eu/ 
informationsociety/digital-agenda/indexen.htm 
Siehe Europäische Kommission: Cybersicherheit: EU bereitet Ein- 
richtung eines IT-Notfallteams für die EU-Organe vor. Pressemittei- 
lung IP/1 1/694 vom 10. Juni 2011. Online abrufbar unter: http://euro 
pa.eu/rapid/press-release_IP-l l-694_de.htm?locale=en 
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Bestandsaufnahme werden aus der Vielzahl der deutschen 
CERTs 1 8 explizit erfasst und dargestellt, von denen die 
Mehrzahl privaten Trägem, insbesondere aus der Indust- 
rie'*^* und dem Finanzsektor'*^^, zuzuordnen sind. Öffent- 
lich-rechtliche Träger sind einige universitäre Institute^**** 
sowie der Bund. Letzterer betreibt über das BSl ein 
GERT für die Bundesbehörden. Zusätzlich bietet das BSl 
ein Bürger-CERT für Bürgerinnen und Bürger sowie 
kleine Unternehmen an. Die deutschen CERTs sind da- 
rüber hinaus im GERT- Verbund organisiert, der die Ko- 
operation zwischen den Mitgliedern ermöglichen soll, ih- 
nen aber im Übrigen ihre Autonomie belässt. Um den 
Austausch effizient zu gestalten, haben die Mitglieder des 
GERT- Verbunds ein spezielles Austauschformat geschaf- 
fen, das Deutsche Advisory Format (DAF).502 

2. 3.2.6 Europol 

Am 1. Januar 2010 ist mit dem Europol-Beschluss eine 
neue Rechtsgrundlage für die Befugnisse von Europol in 
Kraft getreten. 5*** Mit dem Vertrag von Lissabon wurden 
die Aufgaben von Europol in Artikel 88 AEUV festge- 
schrieben. Europol ist seither befugt, Polizei und Straf- 
verfolgungsbehörden der Mitgliedstaaten bei ihrer Zu- 
sammenarbeit zur Bekämpfung der Kriminalität zu 
unterstützen. Die Behörde soll besser als bisher in den ge- 
genseitigen Informationsaustausch eingebunden werden. 

Europol wird damit zur Zentralstelle für den polizeilichen 
Informationsaustausch in der EU. Die Behörde kämpft je- 
doch der Gemeinsamen Kontrollinstanz von Europol 
(GKl) zufolge mit datenschutzrechtlichen Problemen: 

So hat das Projekt Check the Web (CTW), in dessen Rah- 
men offen zugängliche islamistische Intemetquellen aus- 
gewertet und terroristische Netzaktivitäten beobachtet 
werden, Kritik auf sich gezogen. Check the Web wird auf 
Initiative Deutschlands seit 2007 von Europol betrieben. 
Ursprünglich sollte das Portal vornehmlich dem Informa- 
tionsaustausch der Mitgliedsländer dienen. Es entwi- 
ckelte sich jedoch zunehmend zu einem Europol-lnfor- 


Siehe beispielsweise Forum of Incident Response and Security 
Teams (FIRST): FIRST Members: SAP CERT. Online abrufbar un- 
ter: http://www.first.org/members/teams/sap_cert sowie Siemens: Sie- 
mens CERT. Online abrufbar unter: http://www.siemens.com/corpo 
rate-technology/en/research-areas/siemens-cert.htm 
Siehe beispielsweise SIZ Informatikzentrum der Sparkassenorganisa- 
tion GmbH: S-CERT: Computer-Notfallteam der Sparkassen-Finanz- 
gruppe. Online abrufbar unter: http://www.s-cert.de/ sowie Trusted 
Introducer for Security and Incident Response Teams: ComCERT. 
Online abrufbar unter: https://www.trusted-introducer.org/teams/ 
teams-c.html#COMCERT 

500 Siehe beispielsweise Universität Stuttgart: RUS-CERT. DV-Sicher- 
heit an der Universität Stuttgart. Online abrufbar unter: http://cert. 
uni-stuttgart.de/ sowie Karlsruher Institut für Technologie: KIT-CERT. 
Online abrufbar unter: https://www.cert.kit.edu/ 

501 Siehe die Intemetpräsenz des CERT- Verbunds: http://www.cert-ver 
bund.de/ 

502 Siehe hierzu: CERT- Verbund: Deutsches Advisory Format. Online 
abrufbar unter: http://www.cert-verbund.de/projects/dafhtml 

503 Beschluss des Rates vom 6. April 2009 zur Errichtung des Euro- 
päischen Polizeiamts (Europol), ABI. L 121 vom 15. Mai 2009, 
S. 37-66. Online abrufbar unter: http://eur-lex.europa.eu/LexUri 
Serv/LexUriServ.do?uri=OJ:L:2009:121:0037:0066:DE:PDF 


mationssystem. Auf Empfehlung der GKI wurde es 
deshalb in eine Arbeitsdatei zu Analysezwecken im Sinne 
des Europol-Beschlusses umgewandelt. Die Umwand- 
lung in eine Analysedatei ermöglicht nun auch die Spei- 
cherung von Personendaten. Darüber hinaus gab es in der 
Vergangenheit immer wieder auf europäischer Ebene 
Vorschläge, Check the Web um andere Phänomenbereiche 
zu erweitern. Bislang wurde dies jedoch nicht konkreti- 
siert. Für Check the Web ist das BKA national der An- 
sprechpartner im Rahmen der Zusammenarbeit im Ge- 
meinsamen Intemetzentrum (GIZ), in dem unter Gesamt- 
geschäftsführung des Bundesamtes für Verfassungsschutz 
das BKA, der Militärische Abschirmdienst sowie der Ge- 
neralbundesanwalt Fragestellungen zu islamistischen In- 
temetseiten bearbeiten. 

Bemängelt wird auch, dass Europol Cross Matching be- 
treibt, also Daten, die via Europol ausgetauscht werden, 
mit eigenen Informationen abgleicht. Geplant ist auch ein 
Datenabgleich europäischer mit nationalen Informations- 
systemen.505 Europol ist neuerdings auch berechtigt, per- 
sonenbezogene Daten kommerziell zu erwerben, etwa bei 
Auskunfteien, darf allerdings nur insoweit darauf zugrei- 
fen, als dies zu seiner Aufgabenerfüllung unbedingt erfor- 
derlich ist. 506 

Zudem wurde 2009 eine so genannte European Cyber- 
crime Platform (Europäische Cybercrime-Plattform, 
ECCP) eingerichtet, die auf drei Säulen fußt: 1 . Internet 
Crime Reporting Online System zur Meldung von perso- 
nenbezogenen Informationen über Kriminalitätsfälle, bei 
denen die Jurisdiktionen mehrerer Mitgliedstaaten betrof- 
fen sind, sowie zur Führung des europaweiten Kriminal- 
aktennachweises; 2. „Cyborg“-Analyse-Datei, konzen- 
triert auf gewinnorientierte Internet-Delikte; 3. Internet 
FORencsic Expertise (I-FOREX) zum Austausch über 
bewährte Trainingsmethoden und Praktiken. 507 

2.3.3 Nationale Regelungen 

2.3. 3.1 Materiell-strafrechtliche Aspekte 

Die Gesetzesänderung im Zuge des 41. Strafrechtsände- 
rungsgesetzes^o* hat für eine Anpassung des materiellen 
Kemstrafrechts an die Gefahren der Intemetkriminalität 
gesorgt. 

Teilweise wird allerdings im Bereich des materiellen 
Strafrechts der neugeschaffene § 202c StGB und insbe- 
sondere dessen Nummer 2 zur Pönalisierung von be- 


504 Yg[ Bundesbeauftragter für den Datenschutz und die Informations- 
freiheit: Tätigkeitsbericht zum Datenschutz für die Jahre 2009 und 
2010. 23. Tätigkeitsbericht. 12. April 2011, S. 147. Online abrufbar 
unter: http;//www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeits 
berichte/TB_BfDI/23_TB_09_10.pdf? blob=publicationFile 

“5 Vgl. ebd. 

“«Vgl. ebd. 

507 Vgl. Holzberger, Mark: Wer gegen wen? Gremiendschungel zur Be- 
kämpfung der Cyberkriminalität. In: Bürgerrechte & Polizei/CILIP 
98 (1/2011), S. 12-21. 

^6* Einundvierzigstes Strafrechtsänderungsgesetz zur Bekämpfung der 
Computerkriminalität (41. StrÄndG) vom 7. August 2007 (BGBl. I 
S. 1786). 
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stimmten Vorbereitungshandlungen kritisch gesehen. 
Hier könnten sich Defizite erst aufgrund der Neuschaf- 
fung dieser Norm ergeben haben. Problematisch wird vor 
allem der - trotz der Zweckbestimmung zur Begehung ei- 
ner Tat nach § 202a StGB und § 202b StGB sowie § 303a 
StGB^io und § 303b StGB^" - sehr weite objektive Tatbe- 
stand der Norm gesehen , ^'2 Jer grundsätzlich auch be- 
stimmte Sachverhalte erfassen kann, bei denen ein Admi- 
nistrator seine eigene IT auf Schwachstellen testen 
möchte. Zwischenzeitlich hat aber das Bundesverfas- 
sungsgericht hervorgehoben, dass es nicht ausreicht, 
wenn ein Computerprogramm zur Begehung der genann- 
ten Straftaten lediglich geeignet ist, sondern dass das Pro- 
gramm vielmehr in der Absicht entwickelt oder modifi- 
ziert worden sein muss, es zur Begehung der Straftaten 
einzusetzen.^'"* Damit sind so genannte Dual-Use-Pro- 
gramme bereits nicht vom objektiven Tatbestand der 


Siehe hierzu etwa Emst, Stefan: Das neue Computerstrafrecht. In: 
Neue Juristische Wochenschrift (NJW), 60. Jg. 2007, Heft 37, 
S. 2661; Cornelius, Kai: Zur Strafbarkeit des Anbietens von Hacker- 
tools. Was nach dem 41. Strafrechtsändemngsgesetz noch für die 
IT-Sicherheit getan werden darf. In: Computer und Recht (CR), 
23. Jg. 2007, Heft 10, S. 682; siehe weiter auch Schröder, Thorsten: 
Schriftliche Stellungnahme, vorgelegt im Rahmen des öffentlichen 
Expertengespräches zum Thema „Sicherheit im Netz“ der Projekt- 
gmppe Zugang, Stmktur und Sicherheit im Netz der Enquete-Kom- 
mission Internet und digitale Gesellschaft des Deutschen Bundesta- 
ges vom 28. November 2011, S. 1. Online abmfbar unter: http:// 
www.bundestag.de/intemetenquete/dokumentation/Zugang_Stmktur 
_undSicherheit_im_Netz/PGZustrSi_20 11-11 -28_oeffentliches_Ex 
pertengespraech/PGZuStSi_20 11-11 -28_Expertengespraech_Stellung 
nahme_Schroeder.pdf; siehe weiter bereits Bundestagsdmcksache 
16/5449: Beschlussempfehlung und Bericht des Rechtsausschusses 
(6. Ausschuss) zu dem Gesetzentwurf der Bundesregiemng - Dmck- 
sache 16/3656 - Entwurf eines . . . Strafrechtsändemngsgesetzes zur 
Bekämpfung der Computerkriminalität (... StrÄndG). 23. Mai 2007. 
Online abmlbar unter: http://dip21.bundestag.de/dip21/btd/16/054/ 
1605449.pdf 

Aufgmnd des Verweises in dessen Absatz 3. 

Aufgmnd des Verweises in dessen Absatz 5. 

Siehe dazu auch bereits die Bedenken des Bundesrates gegen den 
Gesetzentwurf, Bundestagsdmcksache 16/3656: Gesetzentwurf der 
Bundesregiemng. Entwurf eines . . . Strafrechtsändemngsgesetzes zur 
Bekämpfung der Computerkriminalität (. . . StrÄndG). 30. November 
2006, S. 16 f Online abmfbar unter: http://dipbt.bundestag.de/dip21/ 
btd/16/036/1603656.pdf 

Vgl. Emst, Stefan: Das neue Computerstralfecht. In: Neue Juristische 
Wochenschrift (NJW), 60. Jg. 2007, Heft 37, S. 2661, 2663; siehe da- 
zu auch Bundestagsdmcksache 16/5449: Beschlussempfehlung und 
Bericht des Rechtsausschusses (6. Ausschuss) zu dem Gesetzentwurf 
der Bundesregiemng - Dmcksache 16/3656 - Entwurf eines ... 
Strafrechtsändemngsgesetzes zur Bekämpfung der Computerkrimi- 
nalität (... StrÄndG). 23. Mai 2007, S. 4. Online abmfbar unter: 
http://dip21.bundestag.de/dip21/btd/16/054/1605449.pdf, wonach ent- 
sprechend Artikel 6 der Cybercrime-Convention des Europarates le- 
diglich Computerprogramme erfasst werden sollen, „(...) die in ers- 
ter Linie dafür ausgelegt oder hergestellt würden, um damit 
Straftaten nach den §§ 202a, 202b StGB zu begehen. Die bloße Ge- 
eignetheit zur Begehung solcher Straftaten begründe keine Strafbar- 
keit. Die geforderte Zweckbestimmung müsse eine Eigenschaft des 
Computerprogramms in dem Sinne darstellen, dass es sich um so ge- 
nannte Schadsoftware handele“. 

Bundesverfassungsgerichts, Beschluss vom 18. Mai 2009 - 2 BvR 
2233/07, 2 BvR 1151/08, 2 BvR 1524/08: Verfassungsmäßigkeit des 
§ 202c Absatz 1 Nummer 2 StGB. In: Zeitschrift für Urheber- und 
Medienrecht (ZUM), 2009, S. 745, Tz. 60 ff, unter Heranziehung 
des Wortlautes der Norm, Tz. 61, der Gesetzessystematik, Tz. 62, so- 
wie der Entstehungsgeschichte, Tz. 63. 


Norm erfasst.^'^ Zudem wird angemerkt, die Verstärkung 
von Abwehrmaßnahmen gegen Angriffe könne negativ 
beeinträchtigt werden. Damit gehe ein Absinken des ge- 
nerellen IT- Sicherheitsniveaus einher, da Sicherheitstests 
auch unter realen Bedingungen - und damit mit Hacker- 
Tools, die auch von Angreifern in der Absicht eines An- 
griffs programmiert wurden - durchgefuhrt werden müss- 
ten.^'® Daher stelle die von der Norm geforderte Zweck- 
bestimmung kein hinreichendes Korrektiv dar.^'’^ Als 
Korrektiv zum Ausschluss der Strafbarkeit verblieben 
dann lediglich die §§ 153, 153a der Strafprozessordnung 
(StPO)^’* und §§ 45, 47 des Jugendgerichtsgesetzes 
(JGG)^'^ sowie der subjektive Tatbestand, also die Frage, 
ob mit Vorsatz gehandelt wurde. Letzteres sei wiede- 
rum problematisch, da nach dem Gesetzeswortlaut bereits 
Eventualvorsatz genüge, also die billigende Inkaufnahme 
der Vorbereitung der genannten Straftaten . ^21 Das könne 
aber in der Regel ebenfalls anzunehmen sein, da die Eig- 
nung der Software zur Tatbegehung einem Handelnden 
für gewöhnlich klar sei. ^22 Bundesverfassungsgericht 

sieht in bestimmten Fallkonstellationen den subjektiven 
Tatbestand selbst bei Personen mit legaler Verwendungs- 
absicht als erfüllt an, wenn das Programm gegebenenfalls 


Bundesverfassungsgerichts, Beschluss vom 18. Mai 2009 - 2 BvR 
2233/07, 2 BvR 1151/08, 2 BvR 1524/08: Verfassungsmäßigkeit des 
§ 202c Absatz 1 Nummer 2 StGB. In: Zeitschrift für Urheber- und 
Medienrecht (ZUM), 2009, S. 745, Tz. 61, 63, 64. 

So ähnlich auch die Auffassung des Chaos Computer Club, zitiert in 
Bundesverfassungsgerichts, Beschluss vom 18. Mai 2009 - 2 BvR 
2233/07, 2 BvR 1151/08, 2 BvR 1524/08: Verfassungsmäßigkeit des 
§ 202c Absatz 1 Nummer 2 StGB. In: Zeitschrift für Urheber- und 
Medienrecht (ZUM), 2009, S. 745, Tz. 49; Cornelius, Kai: Zur Straf- 
barkeit des Anbietens von Hackertools. Was nach dem 41. Straf- 
rechtsänderungsgesetz noch für die IT-Sicherheit getan werden darf. 
In: Computer und Recht (CR), 23. Jg. 2007, Heft 10, S. 682 mit eini- 
gen Beispielen für Dual-Use-Software; Bundesverfassungsgerichts, 
Beschluss vom 18. Mai 2009 - 2 BvR 2233/07, 2 BvR 1151/08, 2 
BvR 1524/08: Verfassungsmäßigkeit des § 202c Absatz 1 Nummer 2 
StGB. In: Zeitschrift für Urheber- und Medienrecht (ZUM), 2009, 
S. 745, Tz. 70. 

So bereits Fraktion DIE LINKE, in Bundestagsdrucksache 16/5449: 
Beschlussempfehlung und Bericht des Rechtsausschusses (6. Aus- 
schuss) zu dem Gesetzentwurf der Bundesregierung - Drucksache 
16/3656 - Entwurf eines ... Strafrechtsänderungsgesetzes zur Be- 
kämpfung der Computerkriminalität (... StrÄndG). 23. Mai 2007, 
S. 5. Online abrufbar unter: http://dip21.bundestag.de/dip21/btd/16/ 
054/1605449. pdf; vgl. Emst, Stefan: Das neue Computerstrafrecht. 
In: Neue Juristische Wochenschrift (NJW), 60. Jg. 2007, Heft 37, 
S. 2661,2663. 

Strafjprozessordnung in der Fassung der Bekanntmachung vom 
7. April 1987 (BGBl. I S. 1074, 1319), zuletzt geändert durch Arti- 
kel 2 des Gesetzes vom 25. Juni 2012 (BGBl. I S. 1374). 
Jugendgerichtsgesetz in der Fassung der Bekanntmachung vom 
11. Dezember 1974 (BGBl. I S. 3427), zuletzt geändert durch Arti- 
kel 3 des Gesetzes vom 6. Dezember 2011 (BGBl. I S. 2554). 

520 Ygi Emst, Stefan: Das neue Computerstrafrecht. In: Neue Juristische 
Wochenschrift (NJW), 60. Jg. 2007, Heft 37, S. 2661, 2664; Bundes- 
verfassungsgerichts, Beschluss vom 18. Mai 2009 - 2 BvR 2233/07, 
2 BvR 1151/08, 2 BvR 1524/08: Verfassungsmäßigkeit des § 202c 
Absatz 1 Nummer 2 StGB. In: Zeitschrift für Urheber- und Medien- 
recht (ZUM), 2009, S. 745, Tz. 71. 

^21 Bundesverfassungsgerichts, Beschluss vom 18. Mai 2009 - 2 BvR 
2233/07, 2 BvR 1151/08, 2 BvR 1524/08: Verfassungsmäßigkeit des 
§ 202c Absatz 1 Nummer 2 StGB. In: Zeitschrift für Urheber- und 
Medienrecht (ZUM), 2009, S. 745, Tz. 72 f. 

^22 So Emst, Stefan: Das neue Computerstrafrecht. In: Neue Juristische 
Wochenschrift (NJW), 60. Jg. 2007, Heft 37, S. 2661, 2664. 
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nicht vertrauenswürdigen Personen zugänglich gemacht 

wird.^23 

Des Weiteren wird § 202c StGB mit einem Rückzug der 
IT-Security-Szene aus der Öffentlichkeit in Verbindung 
gebracht, da die Motivation gesunken sei, öffentlich auf 
neuartige Sicherheitslücken hinzuweisen. ^^4 Neben der 
dadurch verursachten Erweiterung des Zeitfensters für 
Angriffe aufgrund von länger unbekannt bleibenden Si- 
cherheitslücken in Systemen bewirke § 202c StGB auch 
eine Hemmung bei der Herausbildung von IT-Sicher- 

heitsexperten.^25 

Ob und inwieweit die letztgenannten Bedenken und/oder 
ein durch § 202c StGB unterstelltes generelles Absinken 
des Sicherheitsniveaus beziehungsweise eine Überkrimi- 
nalisierung sich allerdings an tatsächlichen Entwicklun- 
gen orientieren, oder ob die Rechtsprechungspraxis den 
Tatbestand im Lichte des Beschlusses des Bundesverfas- 
sungsgerichts so auslegen wird, dass sich die Bedenken 
zerstreuen, 526 ist derzeit noch nicht nachprüfbar. Empiri- 
sche oder sonstige Erkenntnisse sowie instanzgerichtliche 
Rechtsprechung fehlen bislang. 

Ein weiterer Straftatbestand ist schließlich systematisch 
in der Nähe der Sachbeschädigung zu finden: Gemäß 
§ 303a StGB (Datenveränderung) macht sich strafbar, 
wer rechtswidrig Daten im Sinne von § 202a Absatz 2 
StGB löscht, unterdrückt, unbrauchbar macht oder verän- 
dert. Auch bestimmte Formen der Tatvorbereitung sind 
gemäß § 303a Absatz 3 in Verbindung mit § 202c StGB 
strafbar. 

2. 3. 3.2 Nebenstrafrechtliche Regelungen 

Auch außerhalb des Strafgesetzbuches finden sich nun- 
mehr Regelungen, die explizit der Bekämpfung der Com- 
puterkriminalität dienen. Hervorzuheben sind hier etwa 
§17 Absatz 2 UWG, der das Sichverschaffen oder Si- 


523 Bundesverfassungsgerichts, Beschluss vom 18. Mai 2009 - 2 BvR 
2233/07, 2 BvR 1151/08, 2 BvR 1524/08: Verfassungsmäßigkeit des 
§ 202 c Absatz 1 Nummer 2 StGB. In: Zeitschrift für Urheber- und 
Medienrecht (ZUM), 2009, S. 745, Tz. 75. 

524 Ygi Schröder, Thorsten: Schriftliche Stellungnahme, vorgelegt im 
Rahmen des öffentlichen Expertengespräches zum Thema „Sicher- 
heit im Netz“ der Projektgruppe Zugang, Struktur und Sicherheit im 
Netz der Enquete-Kommission Internet und digitale Gesellschaft des 
Deutschen Bundestages vom 28. November 2011, S. 1. Online abruf- 
bar unter: http://www.bundestag.de/intemetenquete/dokumentation/ 
Zugang_Struktur_und_Sicherheit_im_Netz/PGZustrSi_20 11-11 -28_ 
oeffentliches_Expertengespraech/PGZuStSi_20 11-11 -28_Experten 
gespraech_Stellungnahme_Schroeder.pdf. 

525 Ygj 

526 Ygl. Emst, Stefan: Das neue Computerstrafrecht. In: Neue Juristische 
Wochenschrift (NJW), 60. Jg. 2007, Heft 37, S. 2661, 2664. Siehe 
zur Auslegung von § 202c StGB weiter auch Cornelius, Kai: Zur 
Strafbarkeit des Anbietens von Hackertools. Was nach dem 41. Straf- 
rechtsändemngsgesetz noch für die IT-Sicherheit getan werden darf 
In: Computer und Recht (CR), 23. Jg. 2007, Heft 10, S. 682 ff, der 
für Software mit doppeltem Verwendungszweck die Ansicht vertritt, 
dass es dabei auf die vom „(...) Hersteller/Verkäufer/Nutzer gesetz- 
ten Merkmale (ankomme), die erkennbar gerade auf eine Fördemng 
eines späteren kriminellen Einsatzes abzielen“ müssen, sowie als zu- 
sätzliches Merkmal die Vertriebspolitik und die Werbung in Betracht 
käme. 


chem von Geschäfts- oder Betriebsgeheimnissen mittels 
technischer Mittel unter Strafe stellt. 527 

Die Vorschrift soll damit sowohl den Geheimbereich ei- 
nes Unternehmens vor unredlichen Eingriffen schützen 
als auch alle Marktteilnehmer, da ein unverfälschter und 
funktionsfähiger Wettbewerb im Interesse der Allgemein- 
heit steht. Im Einzelnen erfasst ist aber auch die Weiter- 
gabe von Geheimnissen an fremde Nachrichtendienste. 528 
§ 17 Absatz 1 UWG regelt den Fall, bei dem das Geheim- 
nis dem Täter im Rahmen des Dienstverhältnisses anver- 
traut worden ist oder sonst zugänglich gewesen sein 
muss. Hier ist § 17 Absatz 2 Nummer la UWG von Be- 
deutung, bei dem der Täterkreis nicht beschränkt ist, wo- 
durch das Delikt von jedermann begangen werden 
kann. 529 Die Norm spricht bei der Tathandlung von „Ver- 
schaffen“ und orientiert sich bei der Auslegung des Be- 
griffs an §§ 96 und 202a StGB.53o 

Aufgrund des befürchteten, mit der Offenlegung von er- 
folgreichen Spionageattacken verbundenen Imageverlusts 
spielt § 17 Absatz 1 UWG in der Strafverfolgungspraxis 
eher eine untergeordnete Rolle. 53' 

2.3. 3. 3 Regelungen der Haftung 
und Verantwortlichkeit mit 
Steuerungswirkung für 
die iT-Sicherheit532 

2.3. 3. 3.1 Haftung des Angreifers 

Im Zivilrecht ist die Haftung des Angreifers umfassend 
geregelt. Die Fülle der möglichen Anspruchsgrundlagen 
kann hier nicht abschließend behandelt werden, stattdes- 
sen soll ein kurzer Überblick gegeben werden. 


527 § 17 Absatz 1 UWG lautet: „Strafbar macht sich, wer als eine bei ei- 
nem Unternehmen beschäftigte Person ein Geschäfts- oder Betriebs- 
geheimnis, das ihm vermöge eines Dienstverhältnisses anvertraut 
worden oder zugänglich geworden ist, während der Geltungsdauer 
des Dienstverhältnisses unbefugt an jemand zum Zwecke des Wett- 
bewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, 
dem Inhaber des Geschäftsbetriebs Schaden zuzufügen, mitteilt“. 
§ 17 Absatz 2 Nummer la UWG, der sich auf Absatz 1 bezieht, lau- 
tet: „Ebenso wird bestraft, wer zu Zwecken des Wettbewerbs, aus 
Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber 
des Unternehmens Schaden zuzufügen, sich ein Geschäfts- oder Be- 
triebsgeheimnis durch Anwendung technischer Mittel, unbefugt ver- 
schafft oder sichert“. 

528 Ygl. Möhrenschlager, Manfred in: Wabnitz/Janovsky, Handbuch 
des Wirtschafts- und Steuerstrafrechts, 3. Aufl. 2007, Kapitel 13 II 1 
Rn. 2. 

529 Ygl. Diemer, Herbert in: Erbs/Kohlhaas, Strafrechtliche Nebengeset- 
ze, Stand: 188. EL 2012, U 43 (UWG), § 17 Rn. 34. 

530 Ygl. Möhrenschlager, Manfred in: Wabnitz/Janovsky, Handbuch des 
Wirtschafts- und Steuerstrafrechts, 3. Aufl. 2007, Kapitel 13 II 2b 
Rn. 20. 

531 Vgl. ebd., Kapitel 13 II 1 Rn. 2. 

532 Zur rechtlichen Würdigung der Haftung und Verantwortlichkeit ein- 

gehend Bundesamt für Sicherheit in der Informationstechnik: Verant- 
wortlichkeit von IT-Herstellem, Nutzem und Intermediären. Studie 
im Auftrag des BSI durchgeführt von Prof. Dr. Gerald Spindler, Uni- 
versität Göttingen. 2007. Online abmfbar unter: https://www.bsi. 
bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Recht 
/Gutachten_pdf.pdfysessionid=48F57CABEB03774EBB4B3AlAC 
DB2F4C 1 .2_cid248? blob=publicationFile 



Drucksache 17/12541 


- 66 - 


Deutscher Bundestag - 17. Wahlperiode 


2. 3. 3. 3.1 .1 Deliktische Haftung gemäß § 823 
Absatz 1 BGB 

Der Schutzbereich des § 823 Absatz 1 BGB wird zwin- 
gend erst durch die Verletzung eines der enumerativ auf- 
gefiihrten Rechtsgüter eröffnet, namentlich Leben, 
Körper, Gesundheit, Freiheit, Eigentum oder ein sonsti- 
ges Recht eines anderen. 

Verletzung des Eigentums 

Der Angriff auf ein IT-System kann einen Eingriff in das 
Recht des Eigentümers des Systems bedeuten. Der Befall 
mit Computerviren kann schon eine Verletzung des Ei- 
gentums darstellen. Die Integrität von Daten ist grund- 
sätzlich von dem Eigentumsbegriff des § 823 Absatz 1 
BGB umfasst. 533 2war kommt Daten nach der herrschen- 
den Meinung selbst keine Sacheigenschaft zu, jedoch be- 
zieht der zivilrechtliche Eigentumsschutz auch die Funk- 
tionalität und innere Ordnung des Eigentums mit ein. 534 
Da praktisch jede Art der Datenspeicherung eine innere 
Ordnung voraussetzt, die durch Veränderung oder Lö- 
schung mittels eines Virus gestört oder sogar zerstört 
wird, stellt der Befall mit Viren regelmäßig eine Eigen- 
tumsverletzung im Sinne des § 823 Absatz 1 BGB dar.535 


Oberlandesgericht Karlsruhe, Urteil vom 07. November 1995 - 3 U 
15/95. In: Neue Juristische Wochenschrift (NJW) 1996, S. 200, 201; 
zustimmend Meier, Klaus/Wehlau, Andreas: Die zivilrechtliche Haf- 
tung für Datenlöschung, Datenverlust und Datenzerstörung. In: Neue 
Juristische Wochenschrift (NJW), 51. Jg. 1998, Heft 22, S. 1585, 
1587 ff.; Staudinger/Hager (2010), § 823 BGB Rn. B 60; Imhof, 
Ralf: Auf der Suche nach der verlorenen Zeit: Das Jahr-2000-Pro- 
blem. In: Mitteilungen der Wirtschaftsprüferkammer (WPK-Mittei- 
lungen), 2/1998, S. 136, 137; Taeger, Jürgen: Außervertragliche Haf- 
tung für fehlerhafte Computerprogramme. 1995, S. 261; anderer 
Ansicht Landgericht Konstanz, Urteil vom 10. Mai 1996 - 1 S 292/ 
95. In: Neue Juristische Wochenschrift (NJW) 1996, S. 2662; Amts- 
gericht Dachau, Urteil vom 10. Juli 2001 - 3 C 167/01. In: Neue Ju- 
ristische Wochenschrift (NJW) 2001, S. 3488. 

534 Ygi Spindler, Gerald in: Bamberger, Heinz Georg/Roth, Herbert 
(Hrsg.): Kommentar zum Bürgerlichen Gesetzbuch. 3. Auflage 2012, 
§ 823 BGB Rn. 55; Wagner, Gerhard in: Säcker, Franz Jürgen/ 
Rixecker, Roland/Oetker, Hartmut (Hrsg.): Münchener Kommentar 
zum Bürgerlichen Gesetzbuch. Band 5. 5. Auflage 2009, § 823 BGB 
Rn. 103. 

Oberlandesgericht Karlsruhe, Urteil vom 7. November 1995 - 3 U 
15/95. In: Neue Juristische Wochenschrift (NJW), 1996, S. 200, 201. 
Vgl. Bartsch, Michael: Computerviren und Produkthaftung. In: Com- 
puter und Recht (CR), 16. Jg. 2000, Heft 11, S. 721, 723; Spindler, 
Gerald: Das Jahr 2000-Problem in der Produkthaftung: Pflichten der 
Hersteller und der Softwarenutzer. In: Neue Juristische Wochen- 
schrift (NJW), 52. Jg. 1999, Heft 51, S. 3737, 3738; Spindler, Gerald: 
IT-Sicherheit und Produkthaftung - Sicherheitslücken, Pflichten der 
Hersteller und der Softwarenutzer. In: Neue Juristische Wochen- 
schrift (NJW), 57. Jg. 2004, Heft 44, S. 3145, 3146; Meier, Klaus/ 
Wehlau, Andreas: Die zivilrechtliche Haftung für Datenlöschung, 
Datenverlust und Datenzerstörung. In: Neue Juristische Wochen- 
schrift (NJW), 51. Jg. 1998, Heft 22, S. 1585, 1588; Mankowski, 
Peter in: Emst, Stefan: Hacker, Cracker & Computerviren. 2004, 
Rn. 440 f ; Koch, Robert: Versicherbarkeit von IT-Risiken: In der 
Sach-, Vertrauensschaden- und Haftpflichtversichemng. 2005, Rn. 
357 f.; Sodtalbers, Axel: Softwarehaftung im Internet. 2006, Rn. 511; 
Spindler, Gerald in: Bamberger, Heinz Georg/Roth, Herbert (Hrsg.): 
Kommentar zum Bürgerlichen Gesetzbuch. 3. Auflage 2012, § 823 
BGB Rn. 55; andere Ansicht Bauer, Axel: Produkthaftung für Soft- 
ware nach geltendem und künftigem deutschen Recht (Teil 2). In: 
Haftpflicht international (PHi), 1989, Heft 3, S. 98, 105 f., nach dem 


Auch das Tatbestandsmerkmal des Verschuldens dürfte 
regelmäßig kein Problem darstellen. In den meisten Fäl- 
len wird derjenige, der die Viren in Umlauf bringt, vor- 
sätzlich handeln. Dass das genaue Opfer im Moment sei- 
ner Verletzungshandlung noch nicht bestimmt ist, schadet 
der Haftung nicht. 

Auch die Infektion mit anderen Formen von Schadsoft- 
ware kann grundsätzlich zu einer Eigentumsverletzung 
führen. Hier kommt es im Einzelnen darauf an, ob die in- 
terne Ordnung der Festplatte durch die Schadsoftware 
verändert wird oder nicht. 

Teilweise wird so weit gegangen, auch den verkörperten 
Datenbestand an sich als sonstiges in § 823 Absatz 1 
BGB geschütztes Recht anzusehen. ^36 Dies hätte den Vor- 
teil, dass die Integrität der Daten auch dann geschützt 
wäre, wenn die Daten an einen Dritten ausgelagert sind. 
Ob diese Ansicht sich durchsetzt, bleibt abzuwarten. 

Grundsätzlich kann das Eigentum auch in der Weise ge- 
schädigt werden, dass dem Eigentümer die bestimmungs- 
gemäße Verwendung erschwert oder entzogen wird.333 
Diese Variante der Rechtsgutverletzung dürfte insbeson- 
dere in den Fällen der DDoS-Angriffe von Bedeutung 
sein. Aber auch die Infektion mit Schadsoftware kann die 
Betriebsbereitschaft eines IT-Systems erheblich ein- 
schränken. Wann jedoch die Grenze zu der von der Recht- 
sprechung338 und auch dem Großteil der Literatur335 ver- 
langten erheblichen Einschränkung der Benutzbarkeit 
eines IT-Systems zu ziehen ist, ist regelmäßig eine Frage 
des Einzelfalles. Auch hier kann regelmäßig von einem 
Verschulden des Angreifers ausgegangen werden. 

Leben, Körper, Gesundheit, Freiheit 

Auch die Verletzung der Rechtsgüter Leben, Körper, Ge- 
sundheit oder Freiheit kann theoretisch gegeben sein. 

Insbesondere dort, wo die IT als Hilfstechnik unverzicht- 
bar ist, etwa im Bereich der Medizin, ist es möglich, dass 
Angriffe auf die IT zu Schäden an Leben, Körper oder 
Gesundheit führen. 


die Zerstörung der Information physikalisch allenfalls eine elektroni- 
sche Zustandsveränderung darstellt. 

536 Vgl. Faustmann, Jörg: Der deliktische Datenschutz. In: Verbraucher 
und Recht (VuR), 21. Jg. 2006, Heft 7, S. 262 f.; Me Meier, Klaus/ 
Wehlau, Andreas: Die zivilrechtliche Haftung für Datenlöschung, 
Datenverlust und Datenzerstörung. In: Neue Juristische Wochen- 
schrift (NJW), 51. Jg. 1998, Heft 22, S. 1585, 1588. 

537 Ygi Spindler, Gerald in: Bamberger, Heinz Georg/Roth, Herbert 
(Hrsg.): Kommentar zum Bürgerlichen Gesetzbuch. 3. Auflage 2012, 
§ 823 BGB Rn. 50 ff. m. w. N. 

^38 BGH, Urteil vom 15. November 1982 - II ZR 206/81. Urteil vom 
15. November 1982 - II ZR 206/81. In: Neue Juristische Wochen- 
schrift (NJW), 1983, S. 2313, 2314; BGH, Urteil vom 7. Dezember 
1993 - VI ZR 74/93. In: Neue Juristische Wochenschrift (NJW) 
1994, S. 517, 518; BGH, Urteil vom 11. Januar 2005 - VI ZR 34/04. 
In: Urteil vom 11. Januar 2005 - VI ZR 34/04. In: Neue Juristische 
Wochenschrift Rechtsprechungs-Report Zivilrecht (NJW-RR), 2005, 
S. 673, 674.Urteil vom 11. 1. 2005 -VI ZR 34/04. 

539 Ygl. Wagner, Gerhard in: Säcker, Franz Jürgen/Rixecker, Roland/ 
Oetker, Hartmut (Hrsg.): Münchener Kommentar zum Bürgerlichen 
Gesetzbuch. Band 5. 5. Auflage 2009, § 823 BGB Rn. 122; Staudinger/ 
Hager (2010), § 823 Rn. B97 f. 
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Sonstige Rechte 

Neben der Verletzung eines der bereits genannten Rechts- 
güter kommt auch die eines „sonstigen Rechts“ im Sinne 
von § 823 Absatz 1 BGB in Betracht. Hintergrund dessen 
ist, dass § 823 Absatz 1 BGB nicht vor jedem beliebigen 
Schaden schützen soll, sondern die Schutzgüter grundsätz- 
lich abschließend benennt. Die so genannten „sonstigen 
Rechte“ erweitern daher zwar einerseits den Schutzbe- 
reich der Norm, müssen jedoch andererseits auch einen 
den ausdrücklich genannten Rechtsgütem (Leben, Körper, 
Gesundheit, Freiheit, Eigentum) vergleichbaren absoluten 
Charakter besitzen, damit die Reichweite des § 823 Ab- 
satz 1 BGB nicht ausufert.^^o Als sonstige Rechte werden 
daher nur absolute, ausschließliche Rechte anerkannt (zum 
Beispiel das allgemeine Persönlichkeitsrecht, die Immate- 
rialgüterrechte und der Besitz). Von besonderer Bedeutung 
dürfte in diesem Zusammenhang auch das Recht auf infor- 
mationeile Selbstbestimmung sein. Es schützt gegen die 
unzulässige Erhebung, Nutzung und Verarbeitung persön- 
licher und personenbezogener Daten. Die Verletzung des 
Rechts auf informationelle Selbstbestimmung beispiels- 
weise durch das Ausspähen von Daten kann Ansprüche 
auf Unterlassung, Beseitigung, Auskunft und Ersatz des 
materiellen und immateriellen Schadens nach den §§ 823, 
1004 BGB begründen. 

Für einige Fälle der Intemetkriminalität von Bedeutung ist 
des Weiteren das vom Bundesverfassungsgericht in sei- 
nem Urteil vom 27. Februar 2008 anerkannte „Grundrecht 
auf Gewährleistung der Vertraulichkeit und Integrität in- 
formationstechnischer Systeme“. Jeder Zugriff auf ein 
IT-System, durch den Nutzer die Kontrolle über ihr Sys- 
tem verlieren, stellt grundsätzlich einen Eingriff in den 
Schutzbereich des Rechts dar. Hierunter fällt insbesondere 

auch der Zugriff mit Backdoorprogrammen.^"^^ offen ist 

noch, ob das Recht auf Vertraulichkeit und Integrität infor- 
mationstechnischer Systeme ein „sonstiges Recht“ im 
Sinne von § 823 Absatz 1 BGB ist.^'*^ 


540 Ygi Wagner, Gerhard in: Säcker, Franz Jürgen/Rixecker, Roland/ 
Oetker, Hartmut (Hrsg.): Münchener Kommentar zum Bürgerlichen 
Gesetzbuch. Band 5. 5. Auflage 2009, § 823 BGB Rn. 142. 
Eingehend zu dem Urteil Hornung, Gerrit: Ein neues Grundrecht. 
Der verfassungsrechtliche Schutz der „Vertraulichkeit und Integrität 
informationstechnischer Systeme“. In: Computer und Recht (CR), 
24. Jg. 2008, Heft 5, S. 299; Hoeren, Thomas: Was ist das „Grund- 
recht auf Integrität und Vertraulichkeit informationstechnischer Sys- 
teme“? In: MultiMedia und Recht (MMR), 11. Jg. 2008, Heft 6, 
S. 365; Bär, Wolfgang: Anmerkungen zu BVerfG, 27.2.2008 - 1 BvR 
370/07 und 1 BvR 595/07: BVerfG: Verfassungsmäßigkeit der On- 
line-Durchsuchung und anderer verdeckter Ermittlungsmaßnahmen 
in Datennetzen. In; MultiMedia und Recht (MMR), 11. Jg. 2008, 
Heft 5, S. 325; Eifert, Martin: Informationeile Selbstbestimmung im 
Internet. Das BVerfG und die Online-Durchsuchungen. In: Neue 
Zeitschrift für Verwaltungsrecht (NVwZ), 27. Jg. 2008, Heft 5, 
S. 521. 

Siehe oben 2/2. 1 .6. 1 .4. 

Dafür wohl Roßnagel, Alexander/Schnabel, Christoph: Das Grund- 
recht auf Gewährleistung der Vertraulichkeit und Integrität informa- 
tionstechnischer Systeme und sein Einfluss auf das Privatrecht. In: 
Neue Juristische Wochenschrift (NJW), 61. Jg. 2008, Heft 49, 
S. 3534, 3536; dafür auch Bartsch, Michael: Die Vertraulichkeit und 
Integrität informationstechnischer Systeme als sonstiges Recht nach 
§ 823 Abs. 1 BGB. In: Computer und Recht (CR), 24. Jg. 2008, Heft 10, 


2.3. 3. 3. 1.2 Deliktische Haftung gemäß § 823 
Absatz 2 BGB in Verbindung mit 
einem Schutzgesetz 

Bei den oben genannten strafrechtlichen Normen handelt 
es sich um Schutzgesetze im Sinne des § 823 Absatz 2 
BGB. Durch die Verbindung mit § 823 Absatz 2 BGB 
kommt diesen eine besondere rechtsschützende Qualität 
zu. 

2.3. 3. 3. 1.3 Verantwortiichkeit nach 
Speziaigesetzen 

ln Frage kommt schließlich noch die Verletzung einiger 
spezialgesetzlicher Normen aus dem IT-Bereich, die nicht 
im Detail behandelt werden können. Hervorzuheben ist 
aber insbesondere § 43 Absatz 2 Nummer 3 und 4 des 
Bundesdatenschutzgesetzes (BDSG).*''"^ Diesem zufolge 
handelt ordnungswidrig, wer unbefugt personenbezo- 
gene Daten, die nicht allgemein zugänglich sind, abruft 
oder sich oder einem anderen aus automatisierten Verar- 
beitungen oder nicht automatisierten Dateien verschafft 
(Nummer 3), oder wer die Übermittlung solcher Daten 
durch unrichtige Angaben erschleicht (Nummer 4). 

2.3. 3. 3.2 Haftung des IT-Herstellers 

2.3. 3. 3.2.1 Vertragliche Haftung 

Insbesondere in Vertragsverhältnissen zwischen Unter- 
nehmern steht die vertragliche Haftung des IT-Herstellers 
für seine Software gegenüber den Abnehmern seiner Pro- 
dukte im Vordergrund.*'*^ Geradezu typisch für den Be- 
reich der Business-Software sind langfristige Vertragsver- 
hältnisse, die neben der Lizenzgewährung oder der 
Herstellung oder Anpassung von Individualsoftware die 
Softwarepflege entweder originär oder als Zusatzleistung 
enthalten.*'*^ Hier wird auch die Absicherung der Soft- 
ware gegenüber neu auftretenden Sicherheitslücken oder 


S. 613, 614 f.; Bartsch, Michael: Software als Rechtsgut. Zur Wahr- 
nehmung von Software aus Sicht des Rechts, zur Begriffsbildung im 
Recht und zu den praktischen Konsequenzen. In: Computer und 
Recht (CR), 26. Jg. 2010, Heft 9, S. 553, 554, 

Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 
14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Artikel 1 des 
Gesetzes vom 14. August 2009 (BGBl. I S. 2814); siehe auch Spind- 
1er, Gerald in: Lorenz, Egon (Hrsg.): Karlsruher Forum 2010: Haf- 
tung und Versicherung im IT-Bereich. Karlsruher Forum 2010. Versi- 
cherungsrecht: Schriftenreihe 44. 2011, S. 57. 

545 Yg[ Spindler, Gerald: Steuerungsfunktionen des Produkthafhmgs- 
rechts im IT-Recht und Reformbedarf In: Hänlein, Andreas/Roßnagel, 
Alexander: Wirtschaftsverfassung in Deutschland und Europa, Fest- 
schrift für Berhard Nagel. 2011, S. 22. 

Siehe dazu Spindler, Gerald: Steuerungsfunktionen des Produkthaf- 
tungsrechts im IT-Recht und Reformbedarf. In: Hänlein, Andreas/ 
Roßnagel, Alexander: Wirtschaftsverfassung in Deutschland und Eu- 
ropa, Festschrift für Berhard Nagel. 2011, S. 22; Marly, Jochen: Soft- 
wareüberlassungsverträge. 4. Auflage 2004, Rn. 508; Peter, Stephan 
in: Schneider, Jochen/Westphalen, Friedrich Graf von (Hrsg.): Soft- 
ware-Erstellungsverträge. 2006, Kapitel G Rn. 7 ff; Baum, Florian 
von: Gestaltung von Software-Maintenance-Verträgen in der interna- 
tionalen Praxis. In: Computer und Recht (CR), 18. Jg. 2002, Heft 10, 
S. 705 ff; Koch, Robert: Versicherbarkeit von IT-Risiken: In der 
Sach-, Vertrauensschaden- und Haftpflichtversicherung. 2005, 
Rn. 505. 
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anderen bekannt werdenden Gefahren regelmäßig direkt 
Vertragsbestandteil sein. 

Selbstverständlich besteht eine Haftung eines Herstellers 
von Software nicht nur im Busmess-to-Busmess(B2B)- 
Bereich, sondern auch gegenüber Verbrauchern, die die 
Software käuflich erworben haben. Diesen gegenüber 
haftet der Hersteller immer im Rahmen der gesetzlichen 
Gewährleistungsregeln nach dem Bürgerlichen Gesetz- 
buch, die weder durch Allgemeine Geschäftsbedingun- 
gen noch einzelvertraglich eingeschränkt werden kön- 
nen. Darüber hinaus sprechen einige Hersteller auch 
die gesetzliche Gewährleistung überschreitende Garantie- 
leistungen aus, wie zum Beispiel eine verlängerte Dauer 
der Haftung beim Auftreten von Mängeln. 

2.3.3.3.2.2 Außervertragliche Verschuldens- 
haftung nach § 823 Absatz 1 BGB 

Voraussetzung für eine deliktische Produzentenhaftung 
nach § 823 Absatz 1 BGB ist zunächst die schuldhafte 
Verletzung eines der dort genannten Schutzgüter. Nicht 
abschließend geklärt ist die Reichweite der Verantwort- 
lichkeit der Hersteller in Bezug auf Angriffe Dritter, die 
erst durch Herstellungsfehler der Software ermöglicht 
wurden. Eine Produzentenhaftung^^o nach § 823 Absatz 1 
BGB wird in der Literatur vor dem Hintergrund des allge- 
meinen Schadensrechts nicht von vornherein ausge- 
schlossen, da denjenigen, der eine Gefahrenquelle eröff- 
net, auch dann Sicherungspflichten treffen, wenn die 
unmittelbare Gefährdung von einem Dritten ausgeht. 

So trifft den Hersteller eines Produkts stets nicht nur die 
Pflicht, das Produkt ordnungsgemäß zu konstruieren, zu 
fertigen und die Nutzer zu instruieren, sondern auch die 
Pflicht, das Produkt zu beobachten und die Nutzer vor be- 
kannt werdenden Gefahren zu warnen. Diese Pflicht 
wird vom Bundesgerichtshof in ständiger Rechtsprechung 
weit ausgelegt, und auch bei von Dritten ausgehenden Ge- 
fahren wird davon ausgegangen, dass der Hersteller zu- 
mindest zur Warnung der Nutzerinnen und Nutzer ver- 
pflichtet ist.553 


Vgl. §§ 434 ff. BGB 

33* Zum Gewährleistungsausschluss durch AGB siehe § 308 Nummer 
8b BGB. Hierzu Wurmnest, Wolfgang in: Münchener Kommentar 
zum Bürgerlichen Gesetzbuch. Band 2. 6. Auflage 2012, § 308 Nr. 8 
Rn. 4; Becker, Jöm in; Bamberger, Heinz Georg/Roth, Herbert 
(Hrsg.): Kommentar zum Bürgerlichen Gesetzbuch. 3. Auflage 2012, 
§ 309 Nr. 8 BGB Rn. 20 ff 
Siehe dazu oben Kapitel 2/2.3.3.3.1.1. 

330 Grundlegend zu diesem Thema BGH, Urteil vom 26. November 
1968 - VI ZR 212/66. In: BGHZ 51, S. 91 ff. 

33> So schon Lehmann, Michael: Produkt- und Produzentenhaftung für 
Software. In: Neue Juristische Wochenschrift (NJW), 45. Jg. 1992, 
Heft 28, S. 1721, 1722; Hohmann, Harald; Haftung der Softwareher- 
steller für das „Jahr 2000“-Problem. In: Neue Jxiristische Wochen- 
schrift (NJW), 52. Jg. 1999, Heft 8, S. 521, 524 f; Moritz, Hans- 
Wemer in: Kilian, Wolfgang/Heussen, Benno (Hrsg.): Computer- 
rechts-Handbuch. Stand: 30. Ergänzungslieferung 2011, Rn. 240. 

332 Grundlegend hierzu BGH, Urteil vom 18. September 1984 - VI ZR 
223/82. In; BGHZ 92, S. 143 ff. 

333 BGH, Urteil vom 9. Dezember 1986 - VI ZR 65/86. In: Neue Juristi- 
sche Wochenschrift (NJW), 1987, S. 1009; BGH, Urteil vom 
27. September 1994 - VI ZR 150/93. In: Neue Jxiristische Wochen- 
schrift (NJW), 1994, S. 3349; BGH , Urteil vom 2. März 1999 - VI ZR 
175/98. In; Neue Juristische Wochenschrift (NJW), 1999, S. 2273. 


Grundsätzlich gilt auch für die Produzentenhaftung im De- 
liktsrecht die zivilprozessrechtliche Beweislastverteilung. 
Der Geschädigte muss also alle anspruchsbegründenden 
Umstände beweisen, soweit ihm keine Beweiserleichte- 
rungen oder eine Beweislastumkehr zugutekommen. ^54 

Die Verteilung der Beweislast ist aus praktischer Sicht be- 
sonders bedeutsam. Auch für IT-Produkte gelten die von 
der Rechtsprechung entwickelten Beweislastgrundsätze 
im Rahmen der Produzentenhaftung. Dies bedeutet, 
dass zugunsten des Geschädigten eine weitreichende Be- 
weislastumkehr gilt. Hinsichtlich der objektiven Verkehrs- 
pflichtverletzung und auch des Verschuldens muss der 
Produzent sich entlasten. ^56 Indes obliegt dem Geschädig- 
ten die Beweislast für die Kausalität zwischen Produktfeh- 
ler oder Verkehrspflichtverletzung für die eingetretene 
Rechtsgutsverletzung. 

2.3. 3. 3.2.3 Außervertragliche Verschuldens- 
haftung nach § 823 Absatz 2 BGB 

In Frage kommt zudem eine Haftung gemäß § 823 Ab- 
satz 2 BGB in Verbindung mit der Verletzung eines Schutz- 
gesetzes. Als Schutzgesetz im Sinne von § 823 Absatz 2 
BGB kommen hier insbesondere die Pflichten des Herstel- 
lers nach dem Gesetz über die Bereitstellung von Produk- 
ten auf dem Markt (Produktsicherheitsgesetz, ProdSG) in 
Betracht. 558 Das bedeutet, das Bereitstellen eines Produk- 
tes auf dem Markt, ohne dass dieses gemäß § 3 Absatz 1 
und 2 ProdSG die erforderliche Sicherheit aufweist, kann 
eine Haftung nach § 823 Absatz 2 BGB auslösen. 

2.3. 3. 3.2.4 Außervertragliche, verschuldens- 
unabhänglge Haftung nach dem 
Produkthaftungsgesetz 

Neben die verschuldensabhängige Haftung des allgemei- 
nen Deliktsrechts tritt die verschuldensunabhängige Haf- 
tung nach dem Gesetz über die Haftung für fehlerhafte 
Produkte (Produkthaftungsgesetz, ProdHaftG)559 für 


Vgl. Staudinger/Hager (2010), § 823 Rn. F 39. 

555 Ygi Spindler, Gerald: IT-Sicherheit und Produkthaftung - Sicher- 
heitslücken, Pflichten der Hersteller und der Softwarenutzer. In: 
Neue Juristische Wochenschrift (NJW), 57. Jg. 2004, Heft 44, 
S. 3145, 3146. 

556 Vgl. Wagner, Gerhard in: Säcker, Franz Jürgen/Rixecker, Roland/ 
Oetker, Hartmut (Hrsg.): Münchener Kommentar zum Bürgerlichen 
Gesetzbuch. Band 5. 5. Auflage 2009, § 823 BGB Rn. 658; BGH, 
Urteil vom 2. Februar 1999 - VI ZR 392-97. In: Neue Juristische 
Wochenschrift (NJW), 1999, S. 1028, 1029. 

557 Ygi Wagner, Gerhard in: Säcker, Franz Jürgen/Rixecker, Roland/Oe- 
tker, Hartmut (Hrsg.): Münchener Kommentar zum Bürgerlichen Ge- 
setzbuch. Band 5. 5. Auflage 2009, § 823 BGB Rn. 658; BGH, Urteil 
vom 07-06-1988 - VI ZR 91/87. In: Neue Juristische Wochenschrift 
(NJW), 1988,8.2611,2613. 

^58 Dazu unten Kapitel 2/2.3.3.3.2.5. 

Gesetz über die Haftung für fehlerhafte Produkte (Produkthaftungs- 
gesetz, ProdHaftG) vom 15. Dezember 1989 (BGBl. I S. 2198), zu- 
letzt geändert durch Artikel 9 Absatz 3 des Gesetzes vom 19. Juli 
2002 (BGBl. I S. 2674) sowie Richtlinie 85/374/EWG des Rates vom 
25. Juli 1985 zur Angleichung der Rechts- und Verwaltungsvor- 
schriften der Mitgliedstaaten über die Haftung für fehlerhafte Pro- 
dukte. ABI. L 210 vom 7. August 1985, S. 29-33; auf der Grundlage 
der Produkthaftungsrichtlinie ist das deutsche Produkthaftungsgesetz 
erlassen worden. 
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Körper-, Gesundheits- und Sachschäden. Die Beweislast 
für den Fehler, den Schaden und den ursächlichen Zusam- 
menhang trägt jedoch gemäß § 1 Absatz 4 ProdHaflG der 
Geschädigte. 

Hardware unterliegt grundsätzlich den Bestimmungen 
des Produkthaftungsgesetzes. Für Software wird dies an- 
genommen, wenn diese auf einem Datenträger wie einer 
Diskette oder einer CD-ROM gespeichert oder auf andere 
Weise verkörpert ist.^^o Diese Einschätzung teilt auch die 
EU-Kommission.^^' 

Streitig ist jedoch noch die Produkteigenschaft im Sinne 
des Produkthaftungsgesetzes (und damit auch die Haft- 
barkeit des Herstellers) in Bezug auf online übertragene 
Software .^^2 Entscheidend ist dabei die Auslegung des 
Begriffs der Sache im Sinne von § 2 ProdHaftG, der an 
den Sachbegriff des § 90 BGB anknüpft und folglich eine 
Verkörperung voraussetzt. Eine Ansicht verneint vor die- 
sem Hintergrund die Produkteigenschaft im Sinne des 
Produkthaftungsgesetzes von online übertragener Soft- 
ware. Eine andere stellt auf den verbraucherschützen- 
den Zweck des Produkthaftungsgesetzes ab und nimmt 
zumindest dann eine Haftung an, wenn die Software nach 
dem Übertragungsvorgang beim Nutzer dauerhaft durch 
Speicherung auf einem Datenträger verkörpert wird.^^'* 


560 Ygi Spindler, Gerald/Klöhn, Lars: Fehlerhafte Informationen und 
Software - Die Auswirkungen der Schuld- und Schadensrechtsre- 
form. In: Versicherungsrecht (VersR), 54. Jg. 2003, Heft 10, S. 410, 
412; Mankowski, Peter in: Emst, Stefan: Hacker, Cracker & Compu- 
terviren. 2004, Rn. 441; Marly, Jochen: Softwareüberlassungsverträ- 
ge. 4. Auflage 2004, Rn. 1303; Sodtalbers, Axel: Softwarehaftung im 
Internet. 2006, Rn. 161; Koch, Robert: Versicherbarkeit von IT-Risi- 
ken: In der Sach-, Vertrauensschaden- und Haftpflichtversichemng. 
2005, Rn. 607; Sprau, Hartwig in: Palandt: Bürgerliches Gesetzbuch. 
Kommentar. 71. Auflage 2012, §2 ProdHaftG Rn. 1; Schiemann, 
Gottfried in: Erman: BGB. Kommentar. 13., neu bearbeitete Auflage 
2011, §2 ProdHaftG Rn. 2; Wagner, Gerhard in: Säcker, Franz 
Jürgen/Rixecker, Roland/Oetker, Hartmut (Hrsg.): Münchener Kom- 
mentar zum Bürgerlichen Gesetzbuch. Band 5. 5. Auflage 2009, § 2 
ProdHaftG Rn. 15. 

Vgl. Schriftliche Anfrage mit Antwort: Nr. 706/88 von Herrn Gijs de 
Vries an die Kommission. Betriff: Produkthaftung für Computerpro- 
gramme. ABI. C 1 14 vom 8. Mai 1989, S. 42. Online abmfbar unter: 
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:1989: 
114:FULL:DE:PDF 

Dafür Spindler, Gerald/Klöhn, Lars: Fehlerhafte Informationen 
und Software - Die Auswirkungen der Schuld- und Schadens- 
rechtsreform. In: Versicherungsrecht (VersR), 54. Jg. 2003, Heft 10, 
S. 410, 412; Sodtalbers, Axel: Softwarehaftung im Internet. 2006, 
Rn. 164 ff.; Koch, Robert: Versicherbarkeit von IT-Risiken: In der 
Sach-, Vertrauens schaden- und Haftpflichtversicherung. 2005, Rn. 607; 
Mankowski, Peter in: Emst, Stefan: Hacker, Cracker & Computervi- 
ren. 2004, Rn. 441; Wagner, Gerhard in: Säcker, Franz Jürgen/ 
Rixecker, Roland/Oetker, Hartmut (Hrsg.): Münchener Kommentar 
zum Bürgerlichen Gesetzbuch. Band 5. 5. Auflage 2009, § 2 Prod- 
HaftG Rn. 16; dagegen Schiemann, Gottfried in: Erman: BGB. Kom- 
mentar. 13., neu bearbeitete Auflage 2011, §2 ProdHaftG Rn. 2; 
Staudinger/Oechsler (2009), § 2 ProdHaftG Rn. 65, 69a. 

563 Ygi Staudinger/Oechsler (2009), § 2 ProdHaftG Rn. 1 1, 66. 

564 Ygl. Spindler, Gerald/Klöhn, Lars: Fehlerhafte Informationen und 
Software - Die Auswirkungen der Schuld- und Schadensrechtsre- 
form. In: Versichemngsrecht (VersR), 54. Jg. 2003, Heft 10, S. 410, 
412; Mankowski, Peter in: Emst, Stefan: Hacker, Cracker & Compu- 
terviren. 2004, Rn. 441; Wagner, Gerhard in: Säcker, Franz Jürgen/ 
Rixecker, Roland/Oetker, Hartmut (Hrsg.): Münchener Kommentar 
zum Bürgerlichen Gesetzbuch. Band 5. 5. Auflage 2009, § 2 Prod- 
HaftG Rn. 16. 


Nach dem Produkthaftungsgesetz hat der Hersteller insbe- 
sondere die Pflicht, seine Software so zu konstruieren, 
dass sie zumindest für bekannte Gefahren nicht anfällig 
ist.5®5 Verstößt er gegen diese Pflicht, kann das im äußers- 
ten Fall dazu führen, dass ein Produkt nicht in den Handel 
gebracht werden kann, wenn die Gefährdung nicht beheb- 
bar ist.^^® Die Konstruktionspflichten der Hersteller orien- 
tieren sich stets am Stand der Technik zur Zeit der ersten 
Inverkehrgabe des Produktes.®®^ Der Hersteller darf aber 
nicht sehenden Auges mit der Inverkehrgabe fortfahren, 
wenn nach diesem Zeitpunkt Sicherheitslücken bekannt 
werden, die die jeweilige Software betreffen und behebbar 
sind, denn diese entspricht dann nicht mehr dem Stand der 
Wissenschaft und Technik. Der Stand von Wissenschaft 
und Technik ist ein unbestimmter Rechtsbegriff, der der 
Ausfüllung bedarf^®* Für die Ausfüllung dieser unbe- 
stimmten Rechtsbegriffe und damit die Pflichtenbestim- 
mung im Bereich der Produkthaftung sind Standards, wel- 
che in überbetrieblichen technischen Normen niedergelegt 
sind, von herausragender Bedeutung. Diese Regeln wer- 
den regelmäßig von Privaten verfasst, etwa vom Deut- 
schen Institut für Normung (DIN) e.V oder europäischen 
Normungsorganisationen, und haben folglich nicht die 
Qualität von Rechtsnormen.®®^ Ihnen kommt jedoch inso- 
fern erhebliche Bedeutung zu, als der Bundesgerichtshof 
in ständiger Rechtsprechung ihre Verwendung für maß- 
geblich bei der Bestimmung des anerkannten Stands von 
Wissenschaft und Technik nach der allgemeinen Verkehrs- 
auffassung erachtet.®^® Diese technischen Normen stellen 


565 Ygl. Foerste, Ulrich in: Foerste, Ulrich/Westphalen, Friedrich Graf 
von (Hrsg.): Produkthaftungshandbuch. 3., überarbeitete Auflage 2012, 
§ 24 Rn. 104 ff. 

566 Vgl. Wagner, Gerhard in: Säcker, Franz Jürgen/Rixecker, Roland/ 
Oetker, Hartmut (Hrsg.): Münchener Kommentar zum Bürgerlichen 
Gesetzbuch. Band 5. 5. Auflage 2009, § 823 BGB Rn. 629; Staudinger/ 
Oechsler (2009), § 3 ProdHaftG Rn. 109. 

Zur Relevanz des Standes von Wissenschaft und Technik für die Pro- 
dukthaftung bei fehlerhaften Computerprogrammen: Littbarski, in: 
Kilian, Wolfgang/Heussen, Benno (Hrsg.): Computerrechts-Hand- 
buch. Stand: 30. Ergänzungslieferung 2011, Kapitel 180 Rn. 53. Ein- 
gehend zum Konstruktionsfehler als Programmierfehler Taeger, 
Jürgen: Außervertragliche Haftung für fehlerhafte Computerprogram- 
me. 1995, S. 244 ff; Günther, Andreas: Produkthaftung für Informa- 
tionsgüter. 2001, S. 300 f ; Meier, Klaus/Wehlau, Andreas: Produzen- 
tenhaftung des Softwareherstellers. § 823 Abs. 1 BGB und das 
Produkthaftgesetz. In: Computer und Recht (CR), 6. Jg. 1990, Heft 2, 
S. 95, 96; Reese, Jürgen: Produkthaftung und Produzentenhaftung für 
Hard- und Software. In: Deutsches Steuerrecht (DStR), 32. Jg. 1994, 
Heft3I, S. 1121, 1123. 

568 Ygl. Kersting, Andreas in: Beckmann, Martin et al. (Hrsg.): 
Landmann/Rohmer, Umweltrecht. Band II. Stand: 63. Ergänzungs- 
lieferung 2012, § 3 KrW-/AbfG Rn. 1 16. 

569 Ygl. Spindler, Gerald in: Bamberger, Heinz Georg/Roth, Herbert 
(Hrsg.): Kommentar zum Bürgerlichen Gesetzbuch. 3. Auflage 2012, 
§ 823 BGB Rn. 255; Wagner, Gerhard in: Säcker, Franz Jürgen/ 
Rixecker, Roland/Oetker, Hartmut (Hrsg.): Münchener Kommentar 
zum Bürgerlichen Gesetzbuch. Band 5. 5. Auflage 2009, § 823 BGB 
Rn. 578. 

BGH, Urteil vom 3. Februar 2004 - VI ZR 95/03. In: Neue Juristi- 
sche Wochenschrift (NJW), 2004, S. 1449, 1450; BGH, Urteil vom 
4. Dezember 2002 - VI ZR 447/00. In: Neue Juristische Wochen- 
schrift Rechtsprechungs-Report Zivilrecht (NJW-RR), 2002, S. 525, 
526; BGH, Urteil vom 13. März 2001 - VI ZR 142/00. In: Neue Ju- 
ristische Wochenschrift (NJW), 2001, S. 2019, 2020; BGH, Urteil 
vom 1. Märzl988 - VI ZR 190/87. In: Versicherungsrecht (VersR), 
1988, S. 632, 633; Spindler, in: Bamberger/Roth, BGB, 3. Aufl. 2012, 
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folglich eine Vermutungswirkung auf, die entfallt, wenn 
die in den Normen enthaltenen Standards unterschritten 
werden. Auch die Einhaltung von anerkannten Normen 
entbindet die Hersteller jedoch nicht davon, selbstständig 
zu überprüfen, ob ihre Maßnahmen im Einzelfall ausrei- 
chen. ^^2 Wann von den Herstellern gefordert werden kann, 
über die üblichen Standards hinauszugehen, ist eine Frage 
des Einzelfalles. 

2. 3. 3.3.2. 5 Öffentlich-rechtliche Regelung der 
Produktsicherheit nach dem 
Produktsicherheitsgesetz 

Neben die zivilrechtliche Haftung des IT-Herstellers als 
Steuerungsinstrument der (IT)Produktsicherheit treten 
zahlreiche öffentlich-rechtliche Normen. Neben einzel- 
nen Spezialgesetzen wie dem Gesetz über Medizinpro- 
dukte (Medizinproduktegesetz, MPG)^’^ erscheint insbe- 
sondere das kürzlich mit Wirkung zum 1. Dezember 2011 

erlassene Produktsicherheitsgesetz^^r relevant. Dieses er- 
setzt künftig das bisherige Geräte- und Produktsicher- 
heitsgesetz^^^ (GPSG). Durch den zukünftig zu erwarten- 
den Anstieg der Verwendung von Embedded Software, 
beispielsweise im Automobilbereich, werden schließlich 
auch im Verbraucherbereich Personenschäden denkbar, 
weshalb dem Produktsicherheitsgesetz zukünftig eine ge- 
steigerte Bedeutung zukommen dürfte. 


§ 823 BGB Rn. 255; Wagner, Gerhard in: Säcker, Franz Jürgen/ 
Rixecker, Roland/Oetker, Hartmut (Hrsg.): Münchener Kommentar 
zum Bürgerlichen Gesetzbuch. Band 5. 5. Auflage 2009, § 823 BGB 
Rn. 272; Reiff, Peter in: Hendler, Reinhard/Marburger, Peter/ 
Reinhardt, Michael/Schröder, Meinhard (Hrsg.): Technische Regeln 
im Umwelt- und Technikrecht. 2 1 . Trierer Kolloquium zum Umwelt- 
und Technikrecht vom 4. bis 6. September 2005. 2006, S. 159, 161 ff 

571 BGH, Urteil vom 1. März 1988 - VI ZR 190/87. In: Neue Juris- 
tische Wochenschrift (NJW), 1988, S. 2667, 2668; BGH, Urteil vom 
1. Dezember 1982 - 13 U 70/80; VI ZR 35/83. In: Versicherungs- 
recht (VersR), 1984, S. 270; BGH, Urteil vom 12. Aprill972 - IX ZR 
163/71. In: Versicherungsrecht (VersR), 1972, S. 767, 768; Oberlan- 
desgericht (OLG) Celle, Urteil vom 28. Mai 2003 - 9 U 7/03. In: 
Neue Juristische Wochenschrift (NJW), 2003, S. 2544. Vgl. Köhler, 
Helmut: Die haftungsrechtliche Bedeutung technischer Regeln. In: 
Betriebs-Berater (BB), 40. Jg. 1985, Heft 4/Beilage, S. 10, 11; 
Foerste, Ulrich in: Foerste, Ulrich/Westphalen, Friedrich Graf von 
(Hrsg.): Produkthaftungshandbuch. 3., überarbeitete Auflage 2012, 
§ 24 Rn. 42 ff; Spindler, Gerald: Untemehmensorganisationspflich- 
ten. 2., unveränderte Auflage 2011, S. 803, 805. 

577 BGH, Urteil vom 7. Okotber 1986 - VI ZR 187/85. In: Neue Juristi- 
sche Wochenschrift (NJW), 1987, S. 372; Oberlandesgericht (OLG) 
Zweibrücken, Urteil vom 20. September 1976 - 2 U 217/75. In: Neue 
Juristische Wochenschrift (NJW), 1977, S. 111, 111 f Vgl. Marburger, 
Peter: Die haftungs- und versicherungsrechtliche Bedeutung techni- 
scher Regeln. In: Versicherungsrecht (VersR), 34. Jg. 1983, Heft 25, 
S. 597, 600; Spindler, Gerald: Untemehmensorganisationspflichten. 
2., unveränderte Auflage 2011, S. 805. 

575 Gesetz über Medizinprodukte in der Fassung der Bekanntmachung 
vom 7. August 2002 (BGBl. I S. 3146), zuletzt geändert durch Arti- 
kel 13 des Gesetzes vom 8. November 2011 (BGBl. I S. 2178). 

57“* Gesetz über die Bereitstellung von Produkten auf dem Markt (Pro- 
duktsicherheitsgesetz - ProdSG) vom 8. November 2011 (BGBl. I 

5. 2178). 

575 Gesetz über technische Arbeitsmittel und Verbraucherprodukte vom 

6. Januar 2004 (BGBl. I S. 2, 219), zuletzt geändert durch Artikel 2 
des Gesetzes vom 7. März 2011 (BGBl. I S. 338). 


Zentraler Aspekt des das Produktsicherheitsrecht prägen- 
den „New Approach“^^^ ist die Beschränkung des Ein- 
greifens des Staates auf das nötige Mindestmaß, um der 
Industrie größtmöglichen Spielraum zu geben. Die in die- 
sem Rahmen besonders hervorzuhebende Verordnung 
(EG) 765/2008 hat in Deutschland auch Änderungen im 
materiellen Produktsicherheitsrecht angestoßen, die sich 
nun im neuen Produktsicherheitsgesetz niederschlagen. 

Ein Produkt darf gemäß § 3 Absatz 1 und 2 ProdSG nur 
dann „auf dem Markt bereitgestellt werden“, wenn es 
„bei bestimmungsgemäßer oder vorhersehbarer Verwen- 
dung die Sicherheit und Gesundheit von Personen nicht 
gefährdet“. Produkte im Sinne des Gesetzes sind gemäß 
§ 2 Nummer 22 ProdSG „Waren, Stoffe oder Zubereitun- 
gen, die durch einen Fertigungsprozess hergestellt wor- 
den sind“. § 3 Absatz 3 bis 5 ProdSG statuieren für be- 
stimmte Konstellationen zusätzliche Hinweispflichten 
beziehungsweise die Pflicht, dem Produkt Gebrauchsan- 
weisungen beizufügen. § 6 ProdSG enthält wiederum di- 
verse zusätzliche Vorgaben in Bezug auf die Bereitstel- 
lung von Verbraucherprodukten. Dies sind gemäß § 2 
Nummer 26 ProdSG „neue, gebrauchte oder wiederauf- 
gearbeitete Produkte, die für Verbraucher bestimmt sind 
oder unter Bedingungen, die nach vernünftigem Ermes- 
sen vorhersehbar sind, von Verbrauchern benutzt werden 
könnten, selbst wenn sie nicht für diese bestimmt sind“ 
oder Produkte, „die dem Verbraucher im Rahmen einer 
Dienstleistung zur Verfügung gestellt werden“. Die Über- 
wachung der Einhaltung dieser Vorschriften obliegt ge- 
mäß § 24 Absatz 1 Satz 1 ProdSG den nach Landesrecht 
zuständigen Behörden. Diese können gemäß § 26 Ab- 
satz 2 Satz 1 ProdSG die erforderlichen Maßnahmen tref- 
fen und sich dabei insbesondere der in § 26 Absatz 2 Satz 2 
ProdSG aufgeführten Standardmaßnahmen bedienen. 

Adressaten der spezifischen Regelungen des § 6 ProdSG 
zu Verbraucherprodukten sind ausschließlich der Herstel- 
ler, der von diesem für bestimmte Aufgaben Beauftragte 
(Bevollmächtigter im Sinne von § 2 Nummer 6 ProdSG) 
sowie der Importeur. Wie sich aus § 27 Absatz I Satz I 
ProdSG ergibt, richtet sich die Generalklausel des § 3 Ab- 
satz 1 und 2 ProdSG hingegen an alle Wirtschaftsakteure 
im Sinne von § 2 Nummer 29 ProdSG, das heißt zusätz- 
lich auch an den Händler von Produkten. 

Inwieweit IT-Produkte, das heißt Hardware und Software, 
unter das Produktsicherheitsgesetz fallen, ist insofern 
nicht abschließend zu beantworten, als mit der Ablösung 
des Geräte- und Produktsicherheitsgesetzes durch das 
Produktsicherheitsgesetz auch der maßgebliche Begriff 
des „Produkts“ (zumindest im Wortlaut der Legaldefini- 
tion) eine Änderung erfahren hat. Waren im Geräte- und 
Produktsicherheitsgesetz mit Produkten noch „technische 
Arbeitsmittel“ und „Verbraucherprodukte“ gemeint, defi- 


Hierzu eingehend: Klindt, Thomas: Der „new approach“ im Pro- 
duktrecht des europäischen Binnenmarkts: Vermutungswirkung tech- 
nischer Normung. In: Europäische Zeitschrift für Wirtschaftsrecht 
(EuZW), 13. Jg. 2002, Heft 5, S. 133; Kapoor, Amn/Klindt, Thomas: 
„New Legislative Framework“ im EU-Produktsicherheitsrecht - 
Neue Marktüberwachung in Europa? In: Europäische Zeitschrift für 
Wirtschaftsrecht (EuZW), 19. Jg. 2008, Heft 21, S. 649. 
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niert § 2 Nummer 22 ProdSG den Begriff nun als „Waren, 
Stoffe oder Zubereitungen, die durch einen Fertigungs- 
prozess hergestellt worden sind“. Der Gesetzesbegrün- 
dung zufolge soll diese Änderung jedoch nur der Klarstel- 
lung dienen und sich aus ihr keine inhaltliche Änderung 
ergeben.577 Sämtliche verkörperten Gegenstände, die 
durch einen Fertigungsprozess hergestellt worden sind, 
damit auch Hardware, lassen sich unter den Produktbe- 
griff fassen. Außerdem lässt sich der Datenträger unter 
den Produktbegriff des § 2 Nummer 22 ProdSG subsu- 
mieren, auf dem Software gegebenenfalls gespeichert 
ist.578 ps [ässt sich zudem differenzieren zwischen Em- 
bedded Software, das heißt solcher, die in ein Endprodukt 
integriert ist und Steuerungsfunktionen erfüllt, und Soft- 
ware, die sich selbstständig nutzen lässt. 

Embedded Software nimmt aufgrund ihrer Steuerungs- 
funktion und Integrierung in das jeweilige Endprodukt an 
dessen Produkteigenschaft ohne Weiteres teil, da sie als 
fester Bestandteil dessen anzusehen ist.^^s Für selbststän- 
dige Software wurde in der Literatur zum Geräte- und 
Produktsicherheitsgesetz zum Teil vertreten, dass diese 
zumindest dann dem Produktbegriff unterfällt, wenn sie 
auf einem Datenträger gespeichert und somit verkörpert 
ist.5*o Die wohl herrschende Meinung stellt hingegen 
- vergleichbar der ähnlichen Problematik im Produkthaf- 
tungsgesetz^*' - auf Sinn und Zweck der Regelung ab, 
der darin besteht, Verbraucher und Arbeitnehmer vor Ge- 
sundheitsschäden durch nicht hinreichend sichere Kon- 
sumgüter zu schützen. Daran gemessen ist auch selbst- 
ständige Software unter den Produktbegriff des § 2 
Nummer 22 ProdSG zu fassen, soweit sie „gefährlich“ 
sein kann, unabhängig von der Art der Speicherung oder 
Übertragung.^*^ Soweit der Anwendungsbereich des Pro- 
duktsicherheitsgesetzes für IT-Produkte in sachlicher 


577 Vgl. Bundesratsdrucksache 314/11: Gesetzentwurf der Bundesregie- 
rung. Entwurf eines Gesetzes über die Neuordnung des Geräte- und Pro- 
duktsicherheitsrechts. 27. Mai 2011, S. 74. Online abrufbar unter: http:// 
www.bundesrat.de/cln_320/SharedDocs/Dmcksachen/20 11/0301 -400 
/3 14- 1 1 ,templateId=raw,property=publicationFile.pdf/3 14-1 1 .pdf 

578 Ygi Hoeren, Thomas/Emstschneider, Thomas: Das neue Geräte- und 
Produktsicherheitsgesetz und seine Anwendung auf die IT-Branche. 
In: MultiMedia und Recht (MMR), 7. Jg. 2004, Heft 8, S. 507, 508; 
Wilrich, Thomas: Praxiskommentar Geräte- und Produktsicherheits- 
gesetz (GPSG). 2004, § 2 GPSG Rn. 10. 

Vgl. Runte, Christian/Potinecke, Harald W.: Software und GPSG. 
Anwendbarkeit und Auswirkungen des Geräte- und Produktsicher- 
heitsgesetzes auf Hersteller und Händler von Computerprogrammen. 
In: Computer und Recht (CR), 20. Jg. 2004, Heft 10, S. 725, 726; 
Zscherpe, Kerstin A./Lutz, Holger. Geräte- und Produktsicherheits- 
gesetz: Anwendbarkeit auf Hard- und Software. In: Kommunikation 
und Recht (K&R), 8. Jg. 2005, Heft 4, S. 499, 500. 

580 Ygi Hoeren, Thomas/Emstschneider, Thomas: Das neue Geräte- und 
Produktsicherheitsgesetz und seine Anwendung auf die IT-Branche. 
In: MultiMedia und Recht (MMR), 7. Jg. 2004, Heft 8, S. 507, 508; 
Zscherpe, Kerstin A./Lutz, Holger. Geräte- und Produktsicherheits- 
gesetz: Anwendbarkeit auf Hard- und Software. In: Kommunikation 
und Recht (K&R), 8. Jg. 2005, Heft 4, S. 499, 500; offen lassend 
Wilrich, Thomas: Praxiskommentar Geräte- und Produktsicherheits- 
gesetz (GPSG). 2004, § 2 GPSG Rn. 10. 

581 Siehe Kapitel 2/2.3.3.3.2.4. 

582 Zur Lage nach dem GPSG: Runte, Christian/Potinecke, Harald W.: 
Software und GPSG. Anwendbarkeit und Auswirkungen des Geräte- 
und Produktsicherheitsgesetzes auf Hersteller und Händler von Com- 
puterprogrammen. In: Computer und Recht (CR), 20. Jg. 2004, Heft 10, 


Hinsicht eröffnef isf, isf aufgrund des genannten Schutz- 
zwecks dennoch wiederum eine Einschränkung der Ver- 
antwortlichkeit zu beachten. Gemäß § 3 Absatz 1 und 2 
ProdSG wird nur die „Sicherheit und Gesundheit von Per- 
sonen“ geschützt. Nicht erfasst werden daher bloße Ei- 
gentums- und Vermögensschäden. Der Schutzbereich 
kann allenfalls durch Rechtsverordnungen nach § 8 Ab- 
satz 1 ProdSG auch auf andere Rechtsgüter erweitert wer- 
den. ^*4 Durch diese Einschränkung ist der gerade im 
IT-Bereich praktisch relevante Bereich der Eigentums- 
und Vermögensschäden grundsätzlich vom Schutz des 
Produktsicherheitsgesetzes ausgenommen. Standardsoft- 
ware für Verbraucher wird in der Regel gerade keine Per- 
sonenschäden verursachen. Solche dürften stattdessen 
eher im Arbeitsbereich auftreten, wenn Maschinen auf- 
grund von Softwarefehlem oder Sicherheitslücken Perso- 
nen schädigen. Dies wird sich jedoch, wie eingangs be- 
reits angemerkt, durch den zu erwartenden Anstieg von 
Embedded Software voraussichtlich ändern. 

2.3. 3. 3.2.6 Zusammenfassung: Haftung 
des IT-Herstellers 

Im vorangegangenen Abschnitt wurden Fragen der Haf- 
tung von IT-Herstellem dargestellt. Trotz der Vielzahl der 
Anspmchsgrandlagen kann es im Einzelfall möglich sein, 
dass eine Haftung durch den IT-Hersteller nicht vorliegt. 
Im Rahmen der vertraglichen Haftung sind die Grenzen 
möglicher Konstruktionen durch das Verbraucherschutz- 
und AGB(Allgmeine Geschäftsbedinungenj-Recht gezo- 
gen. Eine direkte Haftung der Hersteller gegenüber dem 
Kunden wird jedoch nicht immer gegeben sein. Häufig 
wird der Endnutzer sein Softwareprodukt auch von einem 
Händler erwerben. Die vertraglichen Pflichten bestehen 
dann gegenüber diesem. 

Im Bereich der deliktischen Haftung sind noch einige ju- 
ristische Fragen ungeklärt. Zum einen ist der Anwen- 
dungsbereich verschiedenster Ansprachsgrundlagen für 
Daten umstritten, insbesondere in den Fällen, in denen 
keine Speicherang und somit auch keine Verkörperung 
erfolgt. Dies wirft auch Fragen hinsichtlich der Haftung 
im Bereich des Cloud Computing auf 

Weiter sind die Hersteller von IT-Produkten nur in be- 
schränktem Maße verpflichtet, die Nutzerinnen und Nut- 
zer gegen Angriffe Dritter auf die IT zu schützen. Sie ha- 
ben sich, wie jeder andere Hersteller, im Rahmen der 
deliktischen Produzentenhaftung und des Produkthaf- 
tungsgesetzes zu halten. Eine darüber hinausgehende Ver- 
pflichtung lässt sich nicht herleiten. 

Der Anwendungsbereich des Produktsicherheitsgesetzes 
ist in Bezug auf IT-Produkte unproblematisch für Hard- 


S. 725, 727; Zscherpe, Kerstin A./Lutz, Holger. Geräte- und Produkt- 
sicherheitsgesetz; Anwendbarkeit auf Hard- und Software. In; Kom- 
munikation und Recht (K&R), 8. Jg. 2005, Heft 4, S. 499, 500; 
Klindt, Thomas; Geräte- und Produktsicherheitsgesetz; GPSG. Kom- 
mentar. 2007, § 2 GPSG Rn. 13. 

^*7 Zur Lage nach dem GPSG; Wilrich, Thomas; Praxiskommentar Ge- 
räte- und Produktsicherheitsgesetz (GPSG). 2004, Einleitung Rn. 6. 

^*4 Zur entsprechenden Regelung im GPSG; Wilrich, Thomas; Praxis- 
kommentar Geräte- und Produktsicherheitsgesetz (GPSG). 2004, 
Einleitung Rn. 6, § 3 GPSG Rn. 3. 
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wäre und zumindest weitestgehend für Software eröffnet. 
Allerdings schützt das Produktsicherheitsgesetz grund- 
sätzlich nur vor Personenschäden, nicht hingegen Eigen- 
tums- und Vermögensschäden. 

2. 3. 3. 3.3 Haftung des IT-Nutzers 

Wie oben gezeigt, geht die größte Bedrohung für die 
IT-Sicherheit von konzertierten Angriffen mittels Botnet- 
zen aus. An diese Botnetze angeschlossen sind oft auch 
private Computer, die vom Betreiber des Botnetzes fern- 
gesteuert werden, ohne dass die Nutzer davon Kenntnis 
haben. Diesen Angriffen wäre der Boden entzogen, wenn 
es für die Betreiber der Botnetze nicht mehr möglich wäre, 
weitere Rechner („Bots“) zu infizieren. Eine Verbesserung 
der IT-Sicherheit auf Seiten der Anwender verspricht des- 
halb die allgemeine IT- Sicherheitslage zu verbessern. Zu 
einer Haftung des IT-Nutzers kann es einerseits auf ver- 
traglicher Grundlage und andererseits außervertraglich auf 
Grundlage des allgemeinen Deliktsrechts kommen. Die ju- 
ristische Debatte steht hierzu jedoch noch am Anfang. Ge- 
sicherte Auffassungen dazu, welche Verkehrssicherungs- 
pfiichten den IT-Nutzer im Rahmen der deliktischen 
Haftung treffen, gibt es daher noch nicht. Allerdings hat 
sich der Bundesgerichtshof in einer Entscheidung zur Haf- 
tung als Betreiber eines WLAN-Netzes geäußert.^*® 

2. 3. 3.3.3. 1 Vertragliche Haftung im 
Arbeitsverhältnis 

Im Allgemeinen ist eine vertragliche Haftung des priva- 
ten IT-Nutzers in der Regel nicht denkbar.®*’ 

Eine Ausnahme bildet hier die Haftung innerhalb eines 
Arbeitsverhältnisses. Dieser kommt aufgrund der Tatsa- 
che, dass Arbeitnehmer in vielen Branchen mittlerweile 
ihre privaten Endgeräte auch beruflich einsetzen (Stich- 
wort: BYOD - Bring Your Own Device), eine gesteigerte 
Bedeutung zu. Kommt es im beruflichen Rahmen zur 
Nutzung von Hardware oder Software, die im Eigentum 
des Arbeitgebers steht, oder ist solche auf andere Weise 
dem Einfluss des Arbeitnehmers ausgesetzt (beispiels- 
weise indem sie mit einem Computer oder intemetfähigen 
Handy des Arbeitnehmers vernetzt ist), sind die allgemei- 
nen Grundsätze über die Haftung von Arbeitnehmern®** 
anwendbar. Gleiches gilt, wenn durch den Einsatz von 
privater Hard- oder Software durch den Mitarbeiter dem 
Arbeitgeber oder einem Dritten Schäden entstehen. 

2.3.3.3.3.2 Außervertragliche Verschuldens- 
haftung gemäß § 823 BGB 

Hingegen ergibt sich die Möglichkeit einer Verschuldens- 
haftung gegenüber Dritten aufgrund von § 823 BGB, ins- 

Siehe oben Kapitel 2/2. 1.5.1. 

Siehe unten Fußnote 600. 

587 Ygi Spindler, Gerald in: Lorenz, Egon (Hrsg.): Karlsruher Forum 
2010: Haftung und Versicherung im IT-Bereich. Karlsruher Forum 
2010. Versicherungsrecht Schriften 44. 2011, S. 57. 
Bundesarbeitsgericht, GS Beschluss vom 27. September 1994 - GS 
1/89. In: Neue Zeitschrift für Arbeitsrecht (NZA), 1994, S. 1083 
m. w. N. 


besondere dessen Absatz 1. Anknüpfungspunkt für die 
Haftung kann beispielsweise sein, dass der Nutzer fahr- 
lässig Viren oder andere schadhafte Programme®*^ an die 
Endgeräte Dritter verbreitet, weil er seinen Rechner nicht 
ausreichend gegen Angreifer geschützt hat und dieser in 
der Folge in ein Botnetz eingebunden wurde. ®^® 

Das Vorliegen einer in einem solchen Fall von mittelbarer 
Schädigung oder Schädigung durch Unterlassen für die 
Haftungsbegründung erforderlichen Verletzung einer Ver- 
kehrssicherungspfiicht ist einerseits vom Einzelfall abhän- 
gig, andererseits aber auch insofern problematisch, als die 
Verkehrssicherungspfiichten von IT-Nutzem im Allge- 
meinen noch nicht abschließend geklärt sind.®^’ Während 
IT-Hersteller, wie oben dargestellt,®®’ eine Verkehrssiche- 
rungspfiicht aufgrund der Schaffung einer Gefahrenquelle 
trifft, kann aber zumindest für die Nutzerinnen und Nutzer 
eines bereits kompromittierten IT-Systems (das heißt auch 
schon eines einzelnen Rechners) eine Verkehrssicherungs- 
pfiicht aufgrund der Beherrschung einer Gefahrenquelle 
angenommen werden.®®® Sie sind mithin verpflichtet, die 
notwendigen und zumutbaren Vorkehrungen zu treffen, 
um eine Schädigung anderer durch die Gefahrenquelle zu 
verhindern.®®"* Diese Pflicht kann allerdings nicht so weit 
verstanden werden, dass es eine allgemeine Fürsorge- 
pfiicht für Dritte gäbe. Es bedarf stets einer konkreten 
Pfiichtenlage zum Schutz der Rechtsgüter eines Dritten, 
um eine Verkehrssicherungspfiicht annehmen zu kön- 
nen.®®® 

Zu berücksichtigen ist jedoch, dass den Geschädigten 
aufgrund eines eigenen Versagens beim Schutz seiner IT 
und der daraus resultierenden Infektionsanfälligkeit ein 
Mitverschulden treffen kann, das grundsätzlich nach den- 
selben Maßstäben zu beurteilen ist wie das Verschulden 
des Schädigers und dessen Haftungsumfang schließlich 
abmildert.®®® Insofern stehen sich Selbst- und Fremd- 
schutzpflichten quasi spiegelbildlich gegenüber.®®’ 


Zu den einzelnen Bedrohungen und Angriffsformen oben Kapitel 
2/2. 1.5 und Kapitel 2.1.6. 

590 Vgl. Spindler, Gerald in: Lorenz, Egon (Hrsg.): Karlsruher Forum 
2010: Haftung und Versicherung im IT-Bereich. Karlsruher Forum 
2010. Versicherungsrecht Schriften 44. 2011, S. 57 f 

591 Vgl. ebd., S. 58. 

592 Siehe oben Kapitel 2/2. 3. 3. 3. 2. 2. 

593 Ygi Spindler, Gerald in: Lorenz, Egon (Hrsg.): Karlsruher Forum 
2010: Haftung und Versicherung im IT-Bereich. Karlsruher Forum 
2010. Versicherungsrecht Schriften 44. 2011, S. 58. 

594 Vgl. Spindler, Gerald in: Bamberger, Heinz Georg/Roth, Herbert 
(Hrsg.): Kommentar zum Bürgerlichen Gesetzbuch. 3. Auflage 2012, 
§ 823 Rn. 24. 

595 Ygl. Spindler, Gerald in: Bamberger, Heinz Georg/Roth, Herbert 
(Hrsg.): Kommentar zum Bürgerlichen Gesetzbuch. 3. Auflage 2012, 
§ 823 Rn. 227; Koch, Robert: Haftung für die Weiterverbreitung von 
Viren durch E-Mails. In: Neue Juristische Wochenschrift (NJW), 
57. Jg. 2004, Heft 12, S. 801, 803. 

596 Siehe dazu Spindler, Gerald in: Lorenz, Egon (Hrsg.): Karlsruher Fo- 
rum 2010: Haftung und Versicherung im IT-Bereich. Karlsruher Fo- 
rum 2010. Versicherungsrecht Schriften 44. 2011, S. 60. 

597 Ygl. Spindler, Gerald in: Lorenz, Egon (Hrsg.): Karlsruher Forum 
2010: Haftung und Versicherung im IT-Bereich. Karlsruher Forum 
2010. Versicherungsrecht Schriften 44. 2011, S. 68; Libertus, 
Michael: Zivilrechtliche Haftung und strafrechtliche Verantwortlich- 
keit bei unbeabsichtigter Verbreitung von Computerviren. In: Multi- 
Media und Recht (MMR), 8. Jg. 2005, Heft 8, S. 507, 509. 
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Bei der Frage, welche Sorgfaltspflichten im Einzelnen an 
die Nutzer von IT-Systemen zu stellen sind, ist grundsätz- 
lich auf die berechtigten Erwartungen der betroffenen 
Verkehrskreise abzustellen. Ob Erwartungen berechtigt 
sind, richtet sich maßgeblich nach der technischen und 
wirtschaftlichen Zumutbarkeit. Eine grobe Unterschei- 
dung lässt sich zudem vornehmen zwischen privaten Nut- 
zerinnen und Nutzem und solchen, die IT-Systeme ihrer- 
seits professionell einsetzen. 

Verkehrssicherungspflichten privater IT-Nutzerinnen 
und Nutzer 

Für den Umfang der möglichen Verkehrssichemngspflich- 
ten eines privaten Betreibers eines IT-Systems hat der 
Bundesgerichtshof bisher in seiner WLAN-Entscheidung 
gmndlegende Vorgaben gemacht.^™ Wendet man die dort 
entwickelten Gmndsätze an, kann man davon ausgehen, 
dass von Privaten verlangt werden kann, solche Siche- 
mngsmaßnahmen zu treffen, die ohne großen Aufwand 
und nähere technische Kenntnisse aktiviert werden kön- 
nen.“' Insofern werden auf jeden Fall die Aktiviemng von 
Firewalls und die Nutzung von Virenscannem verlangt 
werden können, ebenso wie das Einspielen von vom 
Softwarehersteller bereitgestellten Patches. Von einem 
pauschalen Ausschluss der Verkehrssichemngspflichten 
privater IT-Nutzerinnen und Nutzer, die als Sender elek- 
tronischer Kommunikation unter Umständen Computervi- 


BGH, Urteil vom 4. Dezember 2001 - VI ZR 447/00. In: Neue Juris- 
tische Wochenschrift Rechtsprechungs-Report Zivilrecht (NJW-RR), 
2002, S. 525, 526; BGH, Urteil vom 21. Februar 1978 - VI ZR 202/ 
76. In: Neue Juristische Wochenschrift (NJW), 1978, S. 1629; BGH, 
BGH, Urteil vom 17. Oktober 1989 - VI ZR 258/88. In: Neue Juristi- 
sche Wochenschrift (NJW) 1990, S. 906, 907; Vgl. Spindler, Gerald 
in: Bamberger, Heinz Georg/Roth, Herbert (Hrsg.): Kommentar zum 
Bürgerlichen Gesetzbuch. 3. Auflage 2012, § 823 Rn. 234; Libertus, 
Michael: Zivilrechtliche Haftung und strafrechtliche Verantwortlich- 
keit bei unbeabsichtigter Verbreitung von Computerviren. In: Multi- 
Media und Recht (MMR), 8. Jg. 2005, Heft 8, S. 507, 509; Koch, 
Robert: Haftung für die Weiterverbreitung von Viren durch E-Mails. 
In: Neue Juristische Wochenschrift (NJW), 57. Jg. 2004, Heft 12, 
S. 801,804. 

599 Ygi Koch, Robert: Haftung für die Weiterverbreitung von Viren 
durch E-Mails. In: Neue Juristische Wochenschrift (NJW), 57. Jg. 
2004, Heft 12, S. 801, 804; Libertus, Michael: Zivilrechtliche Haf- 
tung und strafrechtliche Verantwortlichkeit bei unbeabsichtigter Ver- 
breitung von Computerviren. In: MultiMedia und Recht (MMR), 
8. Jg. 2005, Heft 8, S. 507, 509. Vgl. Spindler, Gerald in: Bamberger, 
Heinz Georg/Roth, Herbert (Hrsg.): Kommentar zum Bürgerlichen 
Gesetzbuch. 3. Auflage 2012, § 823 Rn. 240. 

^‘^^BGH, Urteil vom 12. Mai 2010 - I ZR 121/08. In: Gewerblicher 
Rechtsschutz und Urheberrecht (GRUR), 2010, S. 633. 

Zwar war Gegenstand der zugrunde liegenden BGH-Entscheidung 
nicht die Haftung wegen einer Verkehrssicherungspflichtverletzung, 
sondern die Frage nach der Störerhaftung, aber das Urteil lässt 
den Schluss zu, dass diese Störerhaftung auf der Verletzung einer 
Verkehrssicherungspflicht beruht. So auch Stang, Felix/Hühner, 
Sebastian: Rechtsprechung: BGH: Störerhaftung des WLAN-Inha- 
bers. Anmerkung zu BGH, Urteil vom 12. Mai 2010 - I ZR 121/08 - 
Sommer unseres Lebens. In: Gewerblicher Rechtschutz und Urhe- 
berrecht (GRUR), 112. Jg. 2010, Heft 7, S. 633, 636. 

Siehe näher hierzu: Spindler, Geradl in: Lorenz, Egon (Hrsg.): Karls- 
ruher Forum 2010: Haftung und Versicherung im IT-Bereich. Karls- 
ruher Forum 2010. Versicherungsrecht Schriften 44. 2011, S. 61; 
Libertus, Michael: Zivilrechtliche Haftung und strafrechtliche Ver- 
antwortlichkeit bei unbeabsichtigter Verbreitung von Computerviren. 
In: MultiMedia und Recht (MMR), 8. Jg. 2005, Heft 8, S. 507, 509. 


ren verbreiten, wie vereinzelt vertreten wurde, kann dem- 
zufolge nicht mehr ausgegangen werden. 

Verkehrssicherungspflichten professioneller 
IT-Nutzerinnen und Nutzer 

Professionelle Nutzer von IT-Technik wie etwa Unterneh- 
men sind grundsätzlich denselben Bedrohungen ausge- 
setzt wie private Nutzer. Ein wesentlicher Unterschied er- 
gibt sich jedoch daraus, dass ihnen im Hinblick auf ihre 
Verkehrssicherungspflichten ein größeres Maß an Sicher- 
heitsvorkehrungen zugemutet werden kann. Dies ergibt 
sich daraus, dass ein Unternehmen, das IT-Technik gezielt 
und umfangreich zur Erledigung seiner Geschäfte ein- 
setzt, zum einen eine größere Gefahrenquelle schafft be- 
ziehungsweise beherrscht und zum anderen von ihm auch 
technisches Know-how und finanzielle Mittel erwartet 
werden können. Insofern könnten sich die zu erwarten- 
den Maßnahmen u. a. auch an der Größe des Unterneh- 
mens orientieren. Von Einfluss auf die zu erwartenden Si- 
cherheitsmaßahmen ist schließlich auch die Frage, in 
welchem Maße das Unternehmen mit welchen Rechtsgü- 
tem Dritter über seine IT-Technik in Kontakt kommt.“^ 

Auf der anderen Seite ist in die berechtigten Erwartungen 
der betroffenen Verkehrskreise auch einzubeziehen, in- 
wieweit beispielsweise den Empfängern elektronischer 
Kommunikation (E-Mails etc.) zuzumuten ist, sich selbst 
vor Computerviren zu schützen. Auch in dieser Hinsicht 
ist Unternehmen mehr Aufwand zuzumuten als Privatper- 
sonen, weshalb vereinzelt vertreten wurde, dass in der 
elektronischen B2B-Kommunikation das sendende Un- 
ternehmen keine Verkehrssicherungspfiicht gegenüber 
dem empfangenden Unternehmen treffe, da dessen 
Selbstschutz vorausgesetzt werden dürfe. Da in der Re- 
gel aber jedes Unternehmen nicht nur Sender, sondern zu- 
gleich auch Empfänger elektronischer Kommunikations- 
mittel ist, läuft es zwangsläufig auf eine Pflicht zur 
Einrichtung geeigneter - und gegenüber privaten Nutzem 


So aber Koch, Robert: Haftung für die Weiterverbreitung von Viren 
durch E-Mails. In: Neue Juristische Wochenschrift (NJW), 57. Jg. 
2004, Heft 12, S. 801, 805; dagegen bereits Libertus, Michael: Zivil- 
rechtliche Haftung und strafrechtliche Verantwortlichkeit bei unbe- 
absichtigter Verbreitung von Computerviren. In: MultiMedia und 
Recht (MMR), 8. Jg. 2005, Heft 8, S. 507, 509 f 

604 Vgl. Spindler, Gerald in: Lorenz, Egon (Hrsg.): Karlsruher Forum 
2010: Haftung und Versicherung im IT-Bereich. Karlsruher Forum 
2010. Versicherungsrecht Schriften 44. 2011, S. 65; Libertus, Michael: 
Zivilrechtliche Haftung und strafrechtliche Verantwortlichkeit bei 
unbeabsichtigter Verbreitung von Computerviren. In: MultiMedia 
und Recht (MMR), 8. Jg. 2005, Heft 8, S. 507, 509. 

605 Ygi Spindler, Gerald in: Lorenz, Egon (Hrsg.): Karlsruher Forum 
2010: Haftung und Versicherung im IT-Bereich. Karlsruher Forum 
2010. Versicherungsrecht Schriften 44. 2011, S. 65; es wird darauf 
hingewiesen, dass sich die Projektgruppe „Demokratie und Staat“ der 
Enquete-Kommission Internet und digitale Gesellschaft u. a. mit der 
Frage einer obligatorischen Verschlüsselung elektronischer Kommu- 
nikation im Justiz-Bereich beschäftigt. Siehe hierzu: Bundestags- 
drucksache 17/12029: Siebter Zwischenbericht der Enquete-Kom- 
mission Internet und digitale Gesellschaft. Demokratie und Staat. 
6. Februar 2013. Online abrufbar unter: http://dipbt.bundestag.de/ 
dip21/btd/17/122/1712290.pdf 

606 Vgl. Koch, Robert: Haftung für die Weiterverbreitung von Viren 
durch E-Mails. In: Neue Juristische Wochenschrift (NJW), 57. Jg. 
2004, Heft 12, S. 801,805. 
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wirksamerer - Schutzmittel hinaus, sei es in Form der 
Verkehrssicherungspflicht oder in Form der Pflicht zum 
Selbstschutz.®*’’ 

2. 3. 3.4 Infrastrukturbezogene Regelungen 

Die §§108 ff. des Telekommunikationsgesetzes (TKG) 
dienen dem Schutz der öffentlichen Sicherheit. Vornehm- 
lich sind im TKG die Regelungsadressaten die Betreiber 
von Telekommunikationsanlagen. Nach § 109 Absatz 1 
TKG wird jedoch auch jeder Telekommunikationsdien- 
steanbieter dazu verpflichtet, Maßnahmen und technische 
Vorkehrungen zum Schutze des Femmeldegeheimnisses 
und personenbezogener Daten zu ergreifen sowie solche 
Maßnahmen zu treffen, die unerlaubte Zugriffe auf Tele- 
kommunikations- und Datenverarbeitungssysteme ver- 
hindern. Damit soll sowohl die Vertraulichkeit der Tele- 
kommunikation als auch der störungsfreie Betrieb 
gewährleistet werden. ®*’* 

Die Betreiber von Telekommunikationsanlagen sind ge- 
mäß § 109 Absatz 2 TKG dazu verpflichtet, angemessene 
technische Vorkehrungen und sonstige Maßnahmen zu 
treffen, u. a. zum Schutz gegen äußere Angriffe. Dabei 
geht es in erster Linie um Datensicherung, sodass Daten 
vor Beschädigung, Zerstörung, Verlust oder unbefugter 
Veränderung und Missbrauch, also vor Angriffen von Au- 
ßenstehenden®**^ oder unberechtigter Datenverwendung 
von Mitarbeitern, geschützt sind.®’** Welche Maßnahmen 
als angemessen im Sinne des § 109 Absatz 2 TKG anzu- 
sehen sind, bestimmt sich nach dem Einzelfall.®’* 

Um zu bestimmen, welche Maßnahmen in Betracht kom- 
men, muss der Betreiber gemäß § 109 Absatz 4 TKG einen 
Sicherheitsbeauftragten benennen und ein Sicherheitskon- 
zept erarbeiten, welches dann der Bundesnetzagentur mit 
einer Erklärung über den Fortschritt oder die Machbarkeit 
der Maßnahmen vorgelegt wird. Stellt die Bundesnetz- 
agentur im Sicherheitskonzept oder bei dessen Umsetzung 
Sicherheitsmängel fest, kann sie deren unverzügliche Be- 
seitigung verlangen (§ 109 Absatz 4 Satz 5 TKG). Legt der 
Betreiber entgegen der Vorschrift ein Sicherheitskonzept 
nicht oder nicht rechtzeitig vor, stellt dies gemäß § 149 
Absatz 1 Nummer 21 TKG eine Ordnungswidrigkeit dar, 
die gemäß § 149 Absatz 2 Satz 1 TKG mit einer Geldbuße 
von bis zu 100 000 Euro geahndet werden kann. Aufgrund 
von § 17 Absatz 2 des Gesetzes über Ordnungswidrigkei- 
ten (OWiG)®” kann fahrlässiges Verhalten allerdings nur 
mit der Hälfte des Höchstsatzes geahndet werden, da § 149 


Zu der Spiegelbildlichkeit beider Pflichten siehe bereits oben Kapitel 
2/2. 3. 3. 3. 2. 2 und 2. 3. 3. 3. 2. 3 und Fußnote 596. 

608 Ygi Koenig, Christian/Loetz, Sascha/Neumann, Andreas: Telekom- 
munikationsrecht. 2004, S. 209. 

609 Ygi Schommertz, Raimund in: Scheurle, Klaus-Dieter/Mayen, 
Thomas (Hrsg.): Telekommunikationsgesetz. Kommentar. 2. Auflage 
2008, § 109 Rn. 6. 

Vgl. Spindler, Gerald: IT-Sicherheit und kritische Infrastrukturen - 
Öffentlich-rechtliche und zivilrechtliche Regulierungsmodelle. 2010, 
S. 90. 

Vgl. Koenig, Christian/Loetz, Sascha/Neumann, Andreas: Telekom- 
munikationsrecht. 2004, S. 209. 

Gesetz über Ordnungswidrigkeiten in der Fassung der Bekanntma- 
chung vom 19. Februar 1987 (BGBl. I, S. 602), zuletzt geändert 
durch Artikel 2 des Gesetzes vom 29. Juli 2009 (BGBl. I, S. 2353). 


Absatz 1 Nummer 21 TKG im Höchstsatz keine Unter- 
scheidung zwischen Vorsatz und Fahrlässigkeit trifft. 
Sollte dieser Betrag jedoch den wirtschaftlichen Vorteil, 
den der Betreiber aus der Verletzung der Vorschrift hatte, 
nicht übersteigen, kann er auch überschritten werden 
(§ 149 Absatz 2 Satz 3 TKG). 

Schutzmaßnahmen im telekommunikationsinfrastruktu- 
rellen Bereich lassen sich daher auf § 109 TKG stützen. 
Zur Durchsetzung der Maßnahmen kann die Bundesnetz- 
agentur als zuständige Behörde im Sinne des § 116 TKG 
nach §§ 115, 126 TKG Anordnungen und andere Maß- 
nahmen treffen.®” 

2.3. 3. 5 Sonstige Regelungen mit Steuerungs- 
wirkung für die IT-Sicherheit 

Eine Anreizwirkung für Unternehmen zur Verbesserung 
der betrieblichen IT-Sicherheit geht von den Eigenkapi- 
talvorschriften des Basler Ausschusses für Bankenauf- 
sicht, kurz: Basel II, aus. Diese Regeln sind über die EU- 
Richtlinien 2006/48/EG®’^ und 2006/49/EG®’® in ihrer 
Umsetzung für die EU-Mitgliedstaaten verbindlich ge- 
worden. Ziel der Regelungen ist zwar die Schaffung ein- 
heitlicher Wettbewerbsbedingungen bei der Kreditver- 
gabe und die Sicherung einer angemessenen Ausstattung 
der Kreditinstitute mit Eigenkapital. Auswirkungen sind 
jedoch mittelbar auch in Unternehmen als Kreditnehmer 
zu verzeichnen. Kreditinstitute sind infolge von Basel II 
gehalten, bei der Risikoanalyse vor der Vergabe von Kre- 
diten nunmehr auch bestimmte „soft facts“ in die Kalku- 
lation mit einzubeziehen, zu denen etwa auch die IT-Si- 
cherheit des um Kredite ersuchenden Unternehmens 
gehört. 

Auf diese Weise besitzt die IT-Sicherheit für Unterneh- 
men eine handfeste finanzielle Bedeutung bei der Unter- 
nehmensgestaltung. 

2.3. 3. 6 Rechtsdurchsetzung 

2.3. 3. 6.1 Sicherung von Beweisen durch 
Strafverfolgungsbehörden 

Die effektive Rechtsdurchsetzung bedarf der Täterfest- 
stellung und für eine rechtskräftige Verurteilung der Si- 
cherung von Beweisen. 

Für die Täterfeststellung und Beweissicherung bei Taten 
im Internet sind drei Arten von Daten relevant: Bestands- 


Vgl. Spindler, Gerald: IT -Sicherheit und kritische Infrastrukturen - 
Öffentlich-rechtliche und zivilrechtliche Regulierungsmodelle. 2010, 
S. 91 m. w. N. 

Richtlinie 2006/48/EG des Europäischen Parlaments und des Rates 
vom 14. Juni 2006 über die Auftiahme und Ausübung der Tätigkeit 
der Kreditinstitute (Neufassung). Text von Bedetung für den EWR. 
ABI. L 177 vom 30. Juni 2006, S. 1-200. Online abrufbar unter: 
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006: 
177:0001:0200:DE:PDF 

Richtlinie 2006/49/EG des Europäischen Parlaments und des Rates 
vom 14. Juni 2006 über die angemessene Eigenkapitalausstattung 
von Wertpapierfirmen und Kreditinstituten (Neufassung), ABI. L 177 
vom 30. Juni 2006, S. 201-255. Online abrufbar unter: http://eur- 
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006: 177:0201: 
0255:DE:PDF 
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daten, Nutzungs- und Verkehrsdaten sowie Inhaltsdaten. 
Bestandsdaten^'® sind diejenigen personenbezogenen Da- 
ten, die für die Begründung des Vertragsverhältnisses 
zwischen Nutzer und Dienstanbieter notwendig sind. 
Diese umfassen in der Regel den Namen und die Adresse 
der Nutzerin beziehungsweise des Nutzers sowie die An- 
schlusskennung, also üblicherweise die Rufnummer. Sie 
sagen folglich nichts darüber aus, ob und in welchem 
Umfang eine Nutzung tatsächlich stattgefunden hat. Nut- 
zungs-^*^ und Verkehrsdaten^'* geben Auskunft über die 
Nummer oder Kennung der beteiligten Anschlüsse, Be- 
ginn und Ende der Nutzung als auch die Datenmenge, 
also den Umfang der Nutzung von Telekommunikations- 
diensten. Inhaltsdaten sind die mittels Kommunikation 
ausgetauschten Informationen, oder auch Inhalte von lo- 
kal gespeicherten Dateien.®'® 

2. 3. 3. 6.2 Erteilung von Bestands- 

datenauskünften 

Anbieter von Telemediendiensten dürfen nach § 14 Ab- 
satz 2 auf Anordnung zuständiger Stellen und bei 

Vorliegen weiterer Merkmale®^' Auskünfte über Bestands- 
daten erteilen. Die Norm selbst befügt den Dienstanbieter 
in datenschutzrechtlicher Hinsicht, sie ermächtigt jedoch 
nicht die anfragende Stelle, die Daten tatsächlich abzufra- 
gen. Die Behörde kann durch § 94 StPO®^^ ermächtigt 
sein, eine Sicherstellung und Beschlagnahme vorzuneh- 
men. 

Weitaus häufiger werden Bestandsdaten bei Telekommu- 
nikationsdienstleistem abgefragt. ®23 Der Diensteanbieter 
wird datenschutzrechtlich durch § 1 1 3 TKG®24 gmndsätz- 
lich verpflichtet, Daten an Behörden zu übermitteln. 

Das Bundesverfassungsgericht sieht, wenn die Aus- 
kunflserteilung unter mittelbarer Nutzung von gespei- 
cherten Verkehrsdaten wie etwa dynamischer IP-Adres- 
sen erfolgt, einen Eingriff in Artikel 10 Absatz 1 GG als 


Der Begriff wird durch § 3 Nummer 3 TKG legal definiert. 

617 § 15 Absatz 1 Satz 1 TMG 

618 § 3 Nummer 30 TKG. 

61^ Vgl. Gercke, Marco/Brunst, Phillip W.: Praxishandbuch Intemet- 
strafrecht. 2009, S. 269 a. E. 

620 Telemediengesetz vom 26. Februar 2007 (BGBl. I, S. 179), zuletzt 
geändert durch das Gesetz vom 31. Mai 2010 (BGBl. I, S. 692). 

621 Die Auskunft muss für Zwecke der Strafverfolgung, zur Gefahrenab- 
wehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetz- 
lichen Aufgaben der Verfassungsschutzbehörden des Bundes und der 
Länder, des Bundesnachrichtendienstes oder des Militärischen Ab- 
schirmdienstes oder des Bundeskriminalamtes im Rahmen seiner 
Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus 
oder zur Durchsetzung der Rechte am geistigen Eigentum erforder- 
lich sein. 

622 Strafprozessordnung in der Fassung vom 7. April 1987 (BGBl. I, 
S. 1074, 1319), zuletzt geändert durch Gesetz vom 23. Juni 2011 
(BGBl. I, S. 1266). 

623 2010 führten 6 Millionen Ersuchen von Sicherheitsbehörden zu 

36 Millionen Abfragen bei Telekommunikationsdienstanbietem. Sie- 
he Bundesnetzagentur: Jahresbericht 2010. 25. Februar 2011, S. 125. 
Online abrufbar unter: http://www.bundesnetzagentur.de/SharedDocs 
/Downloads/DE/BNetzA/Presse/Berichte/2011/Jahresbericht2010pdf 
.pdf? blob=publicationFile 

624 Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I, S. 1190), 
zuletzt geändert durch Gesetz vom 24. März 2011 (BGBl. I, S. 506). 


gegeben an, da eine Auskunft über einen Nufzer einer 
IP-Adresse auch immer eine Aussage darüber enthalte, 
dass ein Telekommunikationsvorgang stattgefunden 
habe.®2® Einen Richtervorbehalt hat es jedoch für eine 
solche Auskunft nach Bestandsdaten als nicht zwingend 
angesehen und sich damit an seiner bisherigen Rechtspre- 
chung orientiert. Gleichwohl sieht das Bundesverfas- 
sungsgericht das Transparenzgebot aber nur dann als 
nicht verletzt an, wenn ein Betroffener grundsätzlich über 
den Vorgang einer mittelbaren Datenauskunft benachrich- 
tigt wird.®2®'®27 

Nach Ansicht des Bundesverfassungsgerichts beinhalte 
die Strafprozessordnung keinen „numerus clausus“ für 
Eingriffe in Artikel 10 Absatz 1 GG. Derartige Eingriffe 
müssten daher nicht ausschließlich auf §§ 100g, 100a 
StPO gestützt werden. ®2* Begründet wurde dies damit, 
dass zwar in Artikel 10 Absatz 1 GG eingegriffen werde, 
der Staat aber selbst keinen Zugriff auf die verwendeten 
Verkehrsdaten erhalte, sondern sich der TK-Anbieter de- 
zentraler Speicherstellen bediene, was den Eingriff abmil- 
dere.®2® Das Bundesverfassungsgericht versteht § 113 
TKG demnach so, dass dieser „auf die jeweiligen fachge- 
setzlichen Eingriffsgrundlagen verweist und für den Zu- 
griff auf die Daten zumindest einen hinreichenden An- 
fangsverdachtgemäß §§ 161, 163 StPO oder eine konkrete 
Gefahr im Sinne der polizeilichen Generalklauseln vor- 
aussetzt“. ®3*' 

2.3. 3. 6.3 Beauskunftung von Nutzungs- 

und Verkehrsdaten 

Nutzungs- und Verkehrsdaten können bei Telekommuni- 
kationsdienstleistem nach § 100g StPO beauskunflet wer- 
den. Telekommunikationsdienstleister dürfen diese ge- 
mäß der §§97 ff. TKG sowohl zu Abrechnungszwecken 


625 Bundesverfassungsgericht (BVerfG), Urteil vom 2. März 2010 - 
I BvR 256/08 u. a. (Vorratsdatenspeicherung). In: Entscheidungen 
des Bundesverfassungsgerichts (BVerfGE) 125, S. 260, 342, Tz. 259. 

626 Bundesverfassungsgericht (BVerfG), Urteil vom 2. März 2010 - 
I BvR 256/08 u. a. (Vorratsdatenspeicherung). In: Entscheidungen 
des Bundesverfassungsgerichts (BVerfGE) 125, S. 260, 344, Tz. 263, 
wonach aber Ausnahmen gelten, wenn durch die Benachrichtigung 
der Zweck der Datenauskunft vereitelt wird oder Interessen Dritter 
oder des Betroffenen entgegenstehen. 

627 Ergänzendes Sondervotum des Sachverständigen Alvar Freude: 
„Derzeit wird dieser Benachrichtigungspflicht in der Regel nicht 
nachgekommen: Es sind keine Fälle bekannt, in denen Betroffene 
über die Beauskunftung anhand dynamischer IP-Adressen informiert 
wurden.“ 

628 Ygi Eckhardt, Jens/Schütze, Marc: Vorratsdatenspeicherung nach 
dem BVerfG: Nach dem Gesetz ist vor dem Gesetz. Eine kritische 
Auseinandersetzung insbesondere im Hinblick auf Auskunft über die 
Nutzer dynamischer Adressen und Kostenerstattungspflicht. In: 
Computer und Recht (CR), 26. Jg. 2010, Heft 4, S. 225, 228. 

629 Bundesverfassungsgericht (BVerfG), Urteil vom 2. März 2010 - 
I BvR 256/08 u. a. (Vorratsdatenspeicherung). In: Entscheidungen 
des Bundesverfassungsgerichts (BVerfGE) 125, S. 260, Tz. 256; da- 
zu Eckhardt, Jens/Schütze, Marc: Vorratsdatenspeicherung nach dem 
BVerfG: Nach dem Gesetz ist vor dem Gesetz. Eine kritische Aus- 
einandersetzung insbesondere im Hinblick auf Auskunft über die 
Nutzer dynamischer Adressen und Kostenerstattungspflicht. In: Com- 
puter und Recht (CR), 26. Jg. 2010, Heft 4, S. 225, 228. 

630 Bundesverfassungsgericht (BVerfG), Urteil vom 2. März 2010 - 
I BvR 256/08 u. a. (Vorratsdatenspeicherung). In: Entscheidungen 
des Bundesverfassungsgerichts (BVerfGE) 125, S. 260, Tz. 289. 
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als auch für die Aufklärung und Verhinderung von Stö- 
rungen und Missbräuchen speichern. 

Die Telekommunikationsdienstleister unterliegen dabei 
jedoch strengen datenschutzrechtlichen Anforderungen. 

Unabhängig davon sind nach der Richtlinie der EU über 
die Vorratsspeicherung von Daten^32 Anbieter von 
Telekommunikationsdiensten dazu verpflichtet, Verkehrs- 
daten mindestens sechs Monate zu speichern. Die 
Richtlinie wurde in Deutschland bisher nicht verfassungs- 
konform umgesetzt, da das Bundesverfassungsgericht die 
entsprechenden Umsetzungsnormen (§§ 113a, 113b TKG 
und § 100g Absatz 1 Satz 1 StPO) mit Urteil vom 2. März 

2010 für nichtig erklärt hat.®^'' Bisher gesammelte Vor- 
ratsdaten waren daher umgehend von den Telekommuni- 
kationsuntemehmen im Anschluss an die Entscheidung 
zu löschen. 

ln seiner Entscheidung hat das Bundesverfassungsgericht 
ausgeführt, dass es für eine verfassungskonforme Umset- 
zung „hinreichend anspruchsvoller und normenklarer Re- 
gelungen“'535 bezüglich der Datensicherheit, des Umfangs 
der Datenverwendung, der Transparenz und des Rechts- 
schutzes bedürfe. Bei den vorgesehenen pauschalen Spei- 
cherfristen handle es sich um einen „besonders schweren 
Eingriff mit einer Streubreite, wie sie die Rechtsordnung 
bisher nicht kennf‘^36 

Eine verfassungs- und europarechtskonforme Umsetzung 
der EU-Richtlinie in nationales Recht ist bisher noch 
nicht erfolgt. Die EU-Kommission hat daher gegen 
Deutschland am 31. Mai 2012 beim Europäischen Ge- 
richtshof Klage wegen Nichtumsetzung der Richtlinie 
eingereicht. Bei Erfolg der Klage der EU-Kommission 
wäre hiermit auch die Zahlung eines Zwangsgeldes ab 
dem Tag des Urteils verbunden. ^^7 

Parallel hierzu hatte die EU-Kommission bereits im April 

2011 nach der Evaluation®^* angekündigt, einen Vor- 


BGH, Urteil vom 13. Januar 2011 - Az. III ZR 146/10. In: Neue Ju- 
ristische Wochenschrift (NJW), 2011, S. 1509. 

Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates 
vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei 
der Bereitstellung öffentlich zugänglicher elektronischer Kommuni- 
kationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder 
verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG. 
ABI. L 105 vom 13. April 2006, S. 54-63. 

Artikel 6 der Richtlinie 2006/24/EG. 

“‘•Bundesverfassungsgericht (BVerfG), Urteil vom 2. März 2010 - 
I BvR 256/08 u. a. (Vorratsdatenspeicherung). In: Entscheidungen 
des Bundesverfassungsgerichts (BVerfGE) 125, S. 260. 

“^Bundesverfassungsgericht (BVerfG), Urteil vom 2. März 2010 - 
I BvR 256/08 u. a. (Vorratsdatenspeicherung). In: Entscheidungen 
des Bundesverfassungsgerichts (BVerfGE) 125, S. 260, Tz. 220. 

“^Bundesverfassungsgericht (BVerfG), Urteil vom 2. März 2010 - 
I BvR 256/08 u. a. (Vorratsdatenspeicherung). In: Entscheidungen 
des Bundesverfassungsgerichts (BVerfGE) 125, S. 260, Tz. 210. 

“7 Vgl. Europäische Kommission: Datenvorratsspeicherung: Kommis- 
sion erhebt Klage gegen Deutschland tmd fordert Verhängung von 
Geldstrafen. Pressemitteilung IP/12/530 vom 31. Mai 2012. Online 
abrufbar unter: http://europa.eu/rapid/press-release_IP-12-530_de. 
htm?locale=en 

“* Siehe hierzu: Bericht der Kommission an den Rat und das Europäi- 
sche Parlament: Bewertungsbericht zur Richtlinie über die Vorratsda- 


schlag für eine überarbeitete Richtlinie zur Speicherung 
von Vorratsdaten vorzulegen. Dieser ist jedoch derzeit 
nicht absehbar. Außerdem wird der Europäische Ge- 
richtshof aufgrund eines vom Irischen High Court ange- 
strengten Vorabentscheidungsverfahrens®*^ u. a. zu prüfen 
haben, ob die EU-Richtlinie zur Vorratsdatenspeicherung 
mit der Europäischen Grundrechtecharta vereinbar ist. 

2.3. 3. 6.4 Ermittlung von Inhaltsdaten 

Zur Ermittlung von Inhaltsdaten sind - vom Standpunkt 
der (auch technischen) Machbarkeit betrachtet - mehrere 
Methoden denkbar. 

2.3. 3. 6.4.1 Beschlagnahme von Datenträgern 

Datenträger - inklusive der darauf gespeicherten Daten - 
können nach §§ 94 ff. StPO sichergestellt und beschlag- 
nahmt werden. Die Befugnis zur Auswertung der aufge- 
fundenen Daten richtet sich nach der Art der Daten, also 
etwa danach, ob die Daten höchstpersönlichen Inhalt ha- 
ben oder nicht. 

2.3. 3. 6.4.2 Öffentlich zugängliche Daten 
(virtuelle Streife) 

Unabhängig von der Beschlagnahme von Hardware kön- 
nen durch die Polizei Recherchen auf Grundlage des 
§163 StPO®'**’ durchgeführt werden, soweit Daten öffent- 
lich zugänglich sind. Öffentlich zugänglich sind diejeni- 
gen Daten, die jedem Intemetnutzer ohne Zugangssperre 
oder Passwort zugänglich sind. Da in diesem Fall ein 
Grundrechtseingriff nicht vorliegt, bedarf es keiner spe- 
ziellen Befugnisnorm.®'*' 


tenspeicherung (Richtlinie 2006/24/EG). KOM(20 11)225 endgültig/2 
vom 29. Juni 2011. Online abrufbar unter: http://eur-lex.europa.eu/ 
LexUriServ/LexUriServ.do?uri=COM:2011:0225:REVl:DE:PDF 

^37 Vorabentscheidungsersuchen des High Court of Ireland (Irland), ein- 
gereicht am 11. Juni 2012 - Digital Rights Ireland Ltd/Minister for 
Communications, Marine and Natural Resources, Minister for Justi- 
ce, Equality and Law Reform, The Commissioner of the Garda 
Siochäna, Irland und The Attorney General. Rechtssache C-293/12. 
Online abrufbar unter: http://curia.europa.eu/juris/document/docu 
ment.jsf;jsessionid=9ea7d0fl30d58137302027de4437af509098f919 
f0de.e34KaxiLc3eQc40LaxqMbN4Oa3qLe0?text=&docid=125859& 
pageIndex=0&doclang=DE&mode=lst&dii=&occ=first&part= 1 &cid 
=3547468 

““ § 1 63 Absatz 1 StPO lautet: „Die Behörden und Beamten des Poli- 
zeidienstes haben Straftaten zu erforschen und alle keinen Aufschub 
gestattenden Anordnungen zu treffen, um die Verdunkelung der Sa- 
che zu verhüten. Zu diesem Zweck sind sie befugt, alle Behörden um 
Auskunft zu ersuchen, bei Gefahr im Verzug auch, die Auskunft zu 
verlangen, sowie Ermittlungen jeder Art vorzunehmen, soweit nicht 
andere gesetzliche Vorschriften ihre Befugnisse besonders regeln.“ 
Ergänzendes Sondervotum der Fraktionen der SPD, DIE LINKE, 
und BÜNDNIS 90/DIE GRÜNEN sowie des Sachverständigen Alvar 
Freude: „Mit der Ausdifferenzierung der Kommunikations- und Ver- 
öffentlichungsformen in den neuen sozialen Netzwerken verschwimmt 
die Grenze zwischen öffentlich und nicht öffentlich zugänglichen In- 
formationen. Etwa die Erlangung auch für größere - aber prinzipiell 
geschlossene - Freundesgruppen vorbehaltene Informationen könnte 
als spezielle Form der ,verdeckten Ermittlung‘ beziehungsweise ei- 
ner ,Überwachung‘ im Sinne des TKG gewertet werden.“ 
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2.3.3.6.4.3 Zugriff beim Teiekommunikations- 
dienstieister 

Ein Zugriff auf Inhaltsdaten kann auf Grundlage und in 
den Grenzen von §§ 100a, 100b StPO sowie der Tele- 

kommunikations-Überwachungsverordnung®"'^ erfolgen. 

Umstritten ist die rechtliche Ausgestaltung der Überwa- 
chung von E-Mail- Verkehr und des Auslesens von E-Mail- 
Korrespondenz. 

Der Bundesgerichtshof entschied am 3 1 . März 2009, dass 
E-Mails beim Telekommunikationsdienstleister nach den 
Regelungen über die Postbeschlagnahme nach § 99 StPO 
beschlagnahmt werden können, da kein Telekommunika- 
tionsvorgang während der Speicherung der Nachricht 
beim Telekommunikationsdienstleister gegeben sei.^'*^ 
Die Anwendbarkeit einer Postbeschlagnahme sieht der 
Bundesgerichtshof darin begründet, dass eine E-Mail mit 
dem herkömmlichen Telegramm vergleichbar sei.®"*'* Das 
Bundesverfassungsgericht hat hier für Klarheit gesorgt, 
indem es am 16. Juni 2009 urteilte, dass E-Mails, die 
beim Telekommunikationsdienstleister gespeichert sind, 
zwar dem Femmeldegeheimnis unterliegen, gleichwohl 
aber nach § 94 StPO beschlagnahmt werden können. 
Nach Ansicht des Gerichts ist § 94 StPO taugliche Er- 
mächtigungsgrundlage für Eingriffe in Artikel 10 Absatz 
1 GG®'*^ Es sei ferner nicht erkennbar, dass der Gesetzge- 
ber einen Eingriff in das Femmeldegeheimnis nur nach den 
Vorschriften der §§ 100a und 100g StPO zulassen wollte. 

Kritiker dieses Urteils gehen davon aus, dass E-Mails 
beim Telekommunikationsdienstleister dem Femmelde- 
geheimnis unterliegen, so dass auf sie nur nach den stren- 
geren Vorschriften der §§ 100a, 100b StPO zugegriffen 
werden kann,^48 diese Normen speziell und abschlie- 
ßend seien. 

Mit der Übertragung der E-Mail auf den Rechner des 
Nutzers endet der Schutz des Femmeldegeheimnisses aus 
Artikel 10 Absatz 1 GG,®"*^ da die Kommunikation nicht 
mehr der spezifischen Gefahr ausgesetzt ist, die bei einer 


Telekommunikations-Überwachungsverordnung vom 3. November 
2005 (BGBl. I, S. 3136), zuletzt geändert durch Gesetz vom 25. De- 
zember 2008 (BGBl. I, S. 3083); erlassen auf Grund des § 110 Ab- 
satz 2, 6 Satz 2 und Absatz 8 Satz 2 des Telekommunikationsgeset- 
zes vom 22. Juni 2004. 

BGH, Beschluss vom 31. März 2009 - 1 StR 76/09. In: Neue Juristi- 
sche Wochenschrift (NJW), 2009, S. 1828. 

BGH, Beschluss vom 31. März 2009 - 1 StR 76/09. In: Neue Juristi- 
sche Wochenschrift (NJW), 2009, S. 1828. 

BVerfG, Urteil vom 16. Juni 2009 - 2 BvR 902/06. In: Neue Juristi- 
sche Wochenschrift (NJW), 2009, S. 2431, 2433. 

BVerfG, Urteil vom 16. Juni 2009 - 2 BvR 902/06. In: Neue Juristi- 
sche Wochenschrift (NJW), 2009, S. 2431, 2433. 

BVerfG, Urteil vom 16. Juni 2009 - 2 BvR 902/06. In: Neue Juristi- 
sche Wochenschrift (NJW), 2009, S. 2431, 2433. 

^^Vgl. Gercke, Marco/Brunst, Phillip W.: Praxishandbuch Intemet- 
strafrecht. 2009, S. 327; Rössel, Markus: Beschlagnahme von 
E-Mails beim Mailbox-Provider. In: Der IT-Rechtsberater (ITRB), 
2004, Heft I, S. lO-Il; Störing, Marc: Strafprozessualer Zugriff auf 
E-Mailboxen. Zum Streitstand unter besonderer technischer Betrach- 
tung. In: Computer und Recht (CR), 25. Jg. 2009, Heft 7, S. 475, 
479. 

BVerfG, Urteil vom 2. März 2006 - 2 BvR 2099/04. In: Neue Juristi- 
sche Wochenschrift (NJW), 2006, S. 976, 978, Tz. 72. 


Übermittlung durch Dritte besteht. Ab diesem Zeit- 
punkt untersteht die E-Mail nur mehr dem Schutz durch 
das Recht auf informationelle Selbstbestimmung, sie 
kann daher dann gemäß § 94 StPO beschlagnahmt wer- 
den. 

2.3. 3. 6.4.4 Online-Durchsuchung 

Mit Hilfe der Online-Durchsuchung soll es ermöglicht 
werden, die auf dem Computer einer überwachten Person 
gespeicherten Dateien (zum Beispiel Dokumente, E-Mail- 
Korrespondenz, Bilder etc.) einzusehen, ohne dass die 
überwachte Person hiervon Kenntnis erlangt. p)ie On- 
line-Durchsuchung kann aufgrund von § 20k des Geset- 
zes über das Bundeskriminalamt und die Zusammenarbeit 
des Bundes und der Länder in kriminalpolizeilichen An- 
gelegenheiten (Artikel 1 des Gesetzes über das Bundes- 
kriminalamt und die Zusammenarbeit des Bundes und der 
Länder in kriminalpolizeilichen Angelegenheiten, Bun- 
de skriminalamtge setz - BKAG)^^^ durchgeführt werden. 

Nach einer Initiative des Landes Nordrhein- Westfalen, 
das mit § 5 Absatz 2 Nummer 1 1 Alternative 2 des Geset- 
zes über den Verfassungsschutz in Nordrhein-Westfa- 
len®^"* eine Ermächtigung zur Online-Durchsuchung zur 
Gefahrenabwehr schaffen wollte, nahm das Bundesver- 
fassungsgericht in 2008 ausführlich zur präventiven On- 
line-Durchsuchung Stellung. pijie präventive Online- 
Durchsuchung sei aufgrund des schwerwiegenden Ein- 
griffs in das - mit dem Urteil richterrechtlich neu ge- 
schaffene - „Grundrecht auf Gewährleistung der Vertrau- 
lichkeit und Integrität informationstechnischer Systeme“ 
nur in sehr engen Grenzen möglich. Sie müsse hinrei- 
chend klar gesetzlich geregelt sein,^56 gg niüsse eine kon- 
krete Gefahr für ein überragend wichtiges Rechtsgut vor- 
liegen'5^^ und sie bedürfe stets der Anordnung durch einen 
Richter.^^* Überragend wichtig sind Leib, Leben und 
Freiheit der Person sowie solche Güter der Allgemein- 
heit, deren Bedrohung die Grundlagen oder den Bestand 
des Staates oder die Grundlagen der Existenz der Men- 


^5» BVerfG, Urteil vom 2. März 2006 - 2 BvR 2099/04. In: Neue Juristi- 
sche Wochenschrift (NJW), 2006, S. 976, 978, Tz. 73. 

^51 BVerfG, Urteil vom 2. März 2006 - 2 BvR 2099/04. In: Neue Juristi- 
sche Wochenschrift (NJW), 2006, S. 976, 978, Tz. 72. 

652 Ygj Braun, Frank/Roggenkamp, Jan Dirk: Ozapftis - (Unzulässig- 
keit von „Staatstrojanem“. In: Kommunikation und Recht (K&R), 
14. Jg. 2011, Heft 11, S. 681. 

Gesetz über das Bundeskriminalamt und die Zusammenarbeit des 
Bundes und der Länder in kriminalpolizeilichen Angelegenheiten 
(Bundeskriminalamtgesetz) vom 7. Juli 1997 (BGBl. I, S. 1650), zu- 
letzt geändert durch Art. 2 des Gesetzes vom 6. Juni 2009 (BGBl. I, 
S. 1226). 

Verfassungsschutzgesetz Nordrhein- Westfalen, hier in der durch das 
Gesetz zur Änderung des Gesetzes über den Verfassungsschutz in 
Nordrhein-Westfalen vom 20. Dezember 2006 (NWGVBl, S. 620) 
geänderten Fassung. 

^55 BVerfG, Urteil vom 27. Februar 2008 - 1 BvR 370/07. In: Neue Ju- 
ristische Wochenschrift (NJW), 2008, S. 822. 

^56 BVerfG, Urteil vom 27. Februar 2008 - 1 BvR 370/07. In: Neue Ju- 
ristische Wochenschrift (NJW), 2008, Tz. 207-228. 

^52 BVerfG, Urteil vom 27. Februar 2008 - 1 BvR 370/07. In: Neue Ju- 
ristische Wochenschrift (NJW), 2008, Tz. 247. 

^58 BVerfG, Urteil vom 27. Februar 2008 - 1 BvR 370/07. In: Neue Ju- 
ristische Wochenschrift (NJW), 2008, Tz. 257. 
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sehen berührt, also aueh die Funktionsfahigkeit wesentli- 
eher Teile existenzsiehemder öffentlieher Versorgungs- 
einriehtungen. Eine Regelung, die diese Erfordernisse 
erfüllt, ist auf Bundesebene dureh § 20k BKAG®^® für das 
Bundeskriminalamt gegeben. § 20k Absafz 7 BKAG be- 
sfimmf zudem zum Sehufz des Befroffenen, dass die 
Maßnahme unzulässig isf, wenn tatsäehliehe Anhalfs- 
punkte für die Annahme vorliegen, dass allein Erkennt- 
nisse aus dem Kembereich privater Lebensgestaltung er- 
langt würden. Werden dennoch Daten aus diesem 
Kembereich erlangt, dürfen diese nicht verwertet werden 
und sind unverzüglich zu löschen. Eine repressive On- 
line-Durchsuchung, das heißt eine Durchsuchung, die der 
Aufklämng einer Straftat dient, ist nach Auffassung des 
3. Strafsenates des Bundesgerichtshofs derzeit nicht mit 
geltendem Recht vereinbar. 

2.3.3.6.4.5 Quellen-Telekommunikations- 
überwachung®®^ 

Mit der Online-Durchsuchung verbunden, aber in ihrem 
funktionalen Umfang dieser gegenüber beschränkt, ist die 
so genannte Quellen-Telekommunikationsüberwachung 
(Quellen-TKÜ).®“ Ziel der Quellen-TKÜ ist die Überwa- 
chung von Telekommunikation (zum Beispiel von Skype- 
oder verschlüsselten VolP -Telefonaten) direkt an der 
Quelle, also ehe diese vor der Übertragung verschlüsselt 
werden kann, beziehungsweise nachdem sie auf dem Ziel- 
gerät des Kommunikationsvorgangs wieder entschlüsselt 
wurde. Das Bundesverfassungsgericht hat in seiner Ent- 
scheidung zur Online-Durchsuchung^®^ Rahmen eines 
so genannten obiter dictums, also in die Entscheidung 
nicht tragenden Ausfühmngen, zur Quellen-TKÜ festge- 
halten, dass „mit der Infiltration die entscheidende Hürde 
genommen ist, um das System insgesamt auszuspähen“. ®®4 
Eine Quellen-TKÜ könne demnach nur ein durch §§ 100a, 
100b StPO, dem Gesetz zur Beschränkung des Brief-, 
Post- und Femmeldegeheimnisses (Artikel 10-Gesetz) 
oder landesrechtlichen Vorschriften erlaubter Eingriff in 
Artikel 10 Absatz 1 GG sein, wenn sich die Überwachung 


Gegen § 20k BKAG sind seit 2009 zwei Verfassungsbeschwerden 
beim Bundesverfassungsgericht anhängig (Az. 1 BvR 966/09, 1 BvR 
1140/09), für die eine Entscheidung über die Annahme noch im Jahr 
2012 angestrebt wird. Siehe Bundesverfassungsgericht: Übersicht 
über die Verfahren, in denen das Bundesverfassungsgericht anstrebt, 
im Jahre 2012 unter anderem zu entscheiden. Online abrufbar unter: 
http://www.bundesverfassungsgericht.de/organisation/erledigungen_ 
2012.html 

BGH, Beschluss vom 31. Januar 2007 - StB 18/06. In: Neue Juristi- 
sche Wochenschrift (NJW), 2007, S. 930. 

Die Fraktion der SPD und der Sachverständige Alvar Freude haben 
gegen die Textfassung dieses Kapitels gestimmt und ein Sondervo- 
tum abgegeben (siehe Kapitel 5 Sondervoten). Die Fraktionen DIE 
LINKE, und BÜNDNIS 90/DIE GRÜNEN sowie die Sachverständi- 
gen Constanze Kurz und Annette Mühlberg schließen sich diesem 
Sondervotum an. 

662 Ygi Braun, Frank/Roggenkamp, Jan Dirk: Ozapftis - (Un)Zulässig- 
keit von „Staatstrojanem“. In: Kommunikation und Recht (K&R), 
14. Jg. 2011, Heft 11, S. 681. 

BVerfG, Urteil vom 27. Februar 2008 - 1 BvR 370/07. In: Neue Ju- 
ristische Wochenschrift (NJW) 2008, S. 822. 

664 BVerfG, Urteil vom 27. Februar 2008 - 1 BvR 370/07. In: Neue Ju- 
ristische Wochenschrift (NJW) 2008, S. 826. 


ausschließlich auf Daten aus einem laufenden Telekom- 
munikationsvorgang beschränke,®®^ und nicht etwa auch 
gespeicherte Daten oder die sonstige Kommunikation am 
Standort des Computers überwacht werde. Diese Be- 
schränkung müsse durch technische Vorkehrungen und 
rechtliche Vorgaben sichergestellt sein.®®® 

Die Quellen-TKÜ wird von der Rechtsprechung der 
Amts- und Landgerichte sowie teilweise auch nach Auf- 
fassung in der Literatur auf § 100a StPO gestützt, der für 
diese besondere Form der Telekommunikationsüberwa- 
chung eine „Annexkompetenz“ enthalte.®®’ Es wird je- 
doch auch die Meinung vertreten,®®* dass die §§ 100a, 
100b StPO als Rechtsgrundlagen nicht ausreichend seien. 
Begründet wird diese Auffassung damit, dass die gel- 
tende Regelung des § 100a StPO eine mögliche Beein- 
trächtigung des Grundrechts auf Gewährleistung der Ver- 
traulichkeit und Integrität informationstechnischer 
Systeme nicht ausreichend berücksichtige. 

Zudem ist bislang noch nicht abschließend geklärt, in 
welcher Art und Weise eine technische Abgrenzung von 
Software-Funktionalitäten zwischen Quellen-TKÜ und 
Online-Durchsuchung dauerhaft sichergestellt werden 
kann. 

2.3. 3. 6.4.6 Einsatz von Ermittlungs-Software 
(so genannter Staatstrojaner) 

Sowohl bei der Online-Überwachung als auch der Quel- 
len-TKÜ sind sowohl die gesetzlichen Grundlagen als 
auch die Vorgaben des Bundesverfassungsgerichts einzu- 
halten. 


BVerfG, Urteil vom 27. Februar 2008 - I BvR 370/07. In: Neue Ju- 
ristische Wochenschrift (NJW) 2008, S. 826. 

666 BVerfG, Urteil vom 27. Februar 2008 - I BvR 370/07. In: Neue Ju- 
ristische Wochenschrift (NJW) 2008, S. 826. 

Landgericht Hamburg, Entscheidung vom 31. August 2010, 608 Qs 
17/10. Vgl. Bär, Wolfgang, in: Heintschel-Heinegg, Bernd von/Stöckel, 
Heinz (Hrsg.): KMR - Kommentar zur Strafprozessordnung. Grund- 
werk mit 65. Ergänzungslieferung. Stand: 12/2012, § 100a StPO 
Rn 31b f; Meyer-Goßner, Lutz/Ciemiak, Jürgen: Strafprozessord- 
nung: StPO. Gerichtsverfassungsgesetz, Nebengesetze und ergänzen- 
de Bestimmungen. Kommentar. 53. Auflage 2010, § 100a StPO 
Rn 7i; Nack, Armin in: Hannich, Rolf (Hrsg.): Karlsruher Kommen- 
tar zur Strafprozessordnung. 6., neu bearbeitete Auflage 2008, § 100a 
Rn 27; Beck in: Graf, Jürgen Peter (Hrsg.): Beck’scher Online-Kom- 
mentar zur Strafprozessordnung. Stand: 1.10.2012, Edition: 15, 
Rn 114 ff; Amtsgericht (AG) Bayreuth, Beschluss vom 17. Septem- 
ber 2009 - Gs 911/09. In: MultiMedia und Recht (MMR), 2010, 
S. 266). 

668 Ygi Hermonies, Felix: Online-Durchsuchung mittels Staatstroja- 
nem. In: Recht und Politik (RuP), 47. Jg. 2011, Heft 4, S. 193; Popp, 
Andreas: Die „Staatstrojaner“- Affäre: (Auch) ein Thema für den Da- 
tenschutz - Kurzer Überblick aus strafprozessualer und datenschutz- 
rechtlicher Sicht. In: Zeitschrift für Datenschutz (ZD), 2. Jg. 2012, 
Heft 2, S. 51; Stadler, Thomas: Zulässigkeit der heimlichen Installa- 
tion von Überwachungssoftware - Trennung von Online-Durchsu- 
chung und Quellen-Telekommunikationsüberwachung möglich? In: 
MultiMedia und Recht (MMR), 15. Jg. 2012, Heft 1, S. 18; Brodowski, 
Dominik: Anmerkung zur Entscheidung des LG Landshut vom 
20.01.2012 (4 Qs 346/10) Im Rahmen der Telekommunikationsüber- 
wachung ist Quellen-TKÜ zulässig, nicht aber Fertigung von 
Screenshots. In: Juristische Rundschau, Band 2011, Heft 12, S. 533. 
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Das bedeutet insbesondere, dass die für die Maßnahmen 
verwendete Software in teehniseher Hinsieht nieht mehr 
zulassen darf, als reehtlieh zulässig ist. Dies folgt den 
Ausführungen des Bundesverfassungsgeriehts, naeh de- 
nen ein mögliehst weitgehender Sehutz der Integrität des 
Zielsystems und die Besehränkung auf die laufende Kom- 
munikation siehergestellt werden soll. Darüber hinaus 
sollen teehnisehe Vorkehrungen gegen Missbraueh ge- 
troffen werden. 

Aufgrund eines Ermittlungsverfahrens bei der Staatsan- 
waltsehaft Landshut^^^ wurde vom Bayerisehen Landes- 
beauftragten für den Datensehutz, Dr. Thomas Petri, als 
aueh dem Bundesbeauftragten für den Datensehutz und 
die Informationsfreiheit, Peter Sehaar, geprüft, ob die bis- 
her in der Praxis verwendete Software der bayerisehen 
Ermittlungsbehörden und des Bundeskriminalamtes die- 
sen reehtliehen und teehnisehen Anforderungen genügt. 

Der Bayerisehe Landesbeauflragte für den Datensehutz 
kommt in seinem Berieht'’^*’ zu dem Ergebnis, dass keine 
Anhaltspunkte festgestellt werden konnten, dass bei den 
Maßnahmen der Staatsanwaltsehaflen tatsäehliehe reehts- 
widrige Zugriffe auf Mikrofone beziehungsweise Kame- 
ras erfolgten oder Keylogger zum Einsatz kamen. 

Hinsiehtlieh der teehnisehen Durehführung der Überwa- 
ehungsmaßnahmen hat der Bayerisehe Landesdaten- 
sehutzbeauftragte allerdings auf Mögliehkeiten des Miss- 
brauehs der eingesetzten Software hingewiesen. Diese 
könnten sieh beispielsweise dureh die in der Software 
verankerte Naehladeftmktion ergeben. Zudem sei eine 
Überprüfung der einzelnen Funktionalitäten aufgrund der 
Sehwierigkeiten bei der Einsiehtnahme in den Quelleode 
der Software nieht möglieh. Aueh sei die Quellen-Tele- 
kommunikationsüberwaehung von der Online-Durehsu- 
ehung dureh klare Vorgaben abzugrenzen. 

Soweit an der Quellen-TKÜ festgehalten werde, emp- 
fiehlt er daher „dringend, Bestimmungen zu sehaffen, die 
der erhöhten Eingriffsintensität und den teehnisehen Be- 
sonderheiten der Quellen-TKÜ gereeht werden. 


669 Ygi Braun, Frank/Roggenkamp, Jan Dirk: Ozapftis - (Un)Zulässig- 
keit von „Staatstrojanem“. In: Kommunikation und Recht (K&R), 
14. Jg. 2011, Heft 11, S. 681 (683); Brodowski, Dominik: Anmer- 
kung zur Entscheidung des LG Landshut vom 20.01.2012 (4 Qs 346/ 
10). Im Rahmen der Telekommunikationsüberwachung ist Quellen- 
TKÜ zulässig, nicht aber Fertigung von Screenshots. In: Juristische 
Rundschau. Band 2011, Heft 12, S. 533. 

670 Petri, Thomas - Der Bayrische Landesbeauftragte für den Daten- 
schutz: Prüfbericht Quellen-TKÜ. 30. Juli 2012. Online abrufbar un- 
ter: http://www.datenschutz-bayem.de/0/bericht-qtkue.pdf 

Vgl. Bayrisches Staatsministerium des Innern: Innenminister 
Joachim Herrmann: Datenschutzbeauftragter bestätigt rechtmäßigen 
Einsatz der Quellen-TKÜ - Sorgsamer Umgang mit Daten - Wert- 
volle datenschutzrechtliche Hinweise für künftige Maßnahmen. Pres- 
semitteilung vom Nr. 274/12 vom 2. August 2012. Online abrulbar 
unter: http://www.stmi.bayem.de/presse/archiv/2012/274.php 
Petri, Thomas: „Staatstrojaner“-Bericht: Strafverfolgungsbehörden 
und Gesetzgeber müssen nachbessem! Pressemitteilung des Bayeri- 
schen Landesbeauftragten für den Datenschutz vom 2. August 2012. 
Online abmfbar unter:http://www.datenschutz-bayem.de/presse/201 
20802_Quellen-TKUE.html 


2.3. 3. 6.5 Ausbildung und Training des 
Strafverfolgungspersonals 

Die technische Entwicklung bringt nicht nur auf Täter- 
seite neue Möglichkeiten zur Deliktsbegehung mit sich, 
sondern eröffnet ebenso den Strafverfolgungsbehörden 
im Rahmen ihrer Ermittlungstätigkeiten neue Chancen. 
Zur effektiven Verbrechensbekämpfung sowie zur Fehler- 
und Missbrauchsvorbeugung ist jedoch erforderlich, dass 
den Behörden nicht nur die entsprechenden Mittel zur 
Verfügung gestellt werden, sondern ebenso, dass die Er- 
mittlerinnen und Ermittler hinreichend aus- und fortgebil- 
det werden. 

2.3. 3. 6.6 Technische und personelle 
Ausstattung der Strafverfol- 
gungsbehörden®^'' 

2.3. 3. 6.6.1 Computer-Forensik 

Computer-Forensik bezeichnet Methoden zur Gewinnung 
von Erkenntnissen über beobachtete oder festgestellte 
Unregelmäßigkeiten oder Vorgänge, die gerichtsver- 
wertbare^’^ digitale Beweise erbringen. Dabei ist ein 
standardisiertes Vorgehen erforderlich, das ein zu unter- 
suchendes System möglichst unangetastet lässt, um flüch- 
tige Speicherinhalte nicht zu verlieren oder zu verän- 
dern.®’* So kann zum Beispiel der Systemstart eines 
Windows- Systems die Datumsstempel einer Vielzahl von 
Dateien verändern.®’® Daher darf, um das Beweismaterial 
intakt zu erhalten, eine forensische Analyse nur an einer 
Systemkopie durchgeführt werden.®*® Eine bemerkens- 
werte Sammlung zum standardisierten Vorgehen auf dem 
Gebiet der Computer-Forensik ist im Leitfaden IT-Foren- 
des BSI im März 2011 herausgegeben worden. 
Dieser Leitfaden soll auch als Hilfe für die Arbeit von 


673 Vgl. Gercke, Marco in: Gercke, Marco/Brunst, Phillip W.: Praxis- 
handbuch Intemetstrafrecht. 2009, Rn. 1 . 

674 Ygi ebd., Rn. 1. 

675 Ygl. Fox, Dirk/Keim, Stefan. Computer-Forensik. In: Datenschutz 
und Datensicherheit (DuD), 28. Jg. 2004, Heft 8, S. 491. 

676 Ygl. Willer, Christoph/Hoppen, Peter: Computerforensik - Techni- 
sche Möglichkeiten und Grenzen. In: Computer und Recht (CR), 
23. Jg. 2007, Heft 9, S. 610. 

Vgl. Brunst, Phillip W. in: Gercke, Marco/Brunst, Phillip W.: Praxis- 
handbuch Intemetstrafrecht. 2009, Rn. 987. 

Vgl. Fox/Kelm, Computer-Forensik, DuD 2004, 491; Bundesamt für 
Sicherheit und Informationstechnik: Leitfaden „IT-Forensik“, Versi- 
on I.O.l. März 2011, S. 24. Online abmfbar unter: https://www.bsi. 
bund.de/SharedDocs/Downloads/DE/BSI/Intemetsicherheit/Leitfaden 
_IT-Forensik_pdfpdf? blob=publicationFile 

679 Vgl. Willer, Christoph/Hoppen, Peter: Computerforensik - Techni- 
sche Möglichkeiten und Grenzen. In: Computer und Recht (CR), 
23. Jg. 2007, Heft 9, S. 610. 

680 Vgl. Bundesamt für Sicherheit und Informationstechnik: Leitfaden 
„IT-Forensik“, Version I.O.L März 2011, S. 26. Online abmfbar un- 
ter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Inter 

netsicherheit/Leitfaden_IT-Forensik_pdf.pdf? blob=publicationFile; 

Willer/Hoppen, Computerforensik - Technische Möglichkeiten und Gren- 
zen. In: Computer und Recht (CR), 23. Jg., 2007, Heft 9, S. 610, 612. 

• Bundesamt für Sicherheit und Informationstechnik: Leitfaden „IT-Fo- 
rensik“, Version I.O.L März 2011. Online abmfbar unter: https:// 
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Intemetsicherheit/ 
Leitfaden_IT-Forensik_pdfpdf? ^blob=publicationFile 
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Strafverfolgungsbehörden dienen^*^ bildet den ak- 
tuellen Stand der Computer-Forensik ab. 

Zusätzlich sind spezielle Programme erforderlich, die ein 
System zu analysieren helfen. Den Strafverfolgungsbe- 
hörden stehen dabei inzwischen umfangreiche digitale 
Werkzeugsammlungen, so genannte Toolkits, zur Verfü- 
gung. Ein bei Strafverfolgungsbehörden verbreitetes^*"^ 
Toolkit ist EnCase der Firma Guidance Software. Dieses 
und ähnliche Toolkits können Systemabbilder vielfältig 
untersuchen und so zum Beispiel bekannte kinderpomo- 
graphische Bilder aus großen Datenmengen filtern, 
E-Mails auffinden und darstellen sowie temporäre Da- 
teien auswerten und so helfen, das Nutzungsverhalten des 
Verdächtigen zu ermitteln.®*^ 

2.3.3.6.6.2 Einsatz von Internettechnik 
für die Fahndung®®® 

Der einfache Zugang zu Intemetinhalten und die weite 
Verbreitung von Intemetanschlüssen bringen für Strafver- 
folgungsbehörden auch neue Möglichkeiten der öffentli- 
chen Fahndung mit sich. So konnte in einem vielbeachte- 
ten Fall das auf Fotos digital verfremdete Bild eines 
Kinderschänders wieder erkennbar gemacht und zur Fahn- 
dung ausgeschrieben werden.®*’ Der Täter konnte darauf- 
hin gefasst und verurteilt werden. Die Online-Fahndung 
stellt eine Ausschreibung zur Festnahme nach § 13 1 StPO 
beziehungsweise eine Ausschreibung zur Aufenthaltser- 
mittlung nach § 131a StPO dar und darf nach § 131 Ab- 
satz 3 StPO, beziehungsweise § 131a Absatz 3 StPO auch 
öffentlich erfolgen. Neben der Online-Fahndung bietet das 
Internet auch die Möglichkeit, die Kontaktaufhahme zwi- 
schen Bürgern und Behörde zu erleichtern. Die Mehr- 
heit®** *** der Polizeibehörden der Bundesländer bietet inzwi- 
schen die Möglichkeit, online Strafanzeige zu erstatten. 
Über diese so genannten Onlinewachen können auch ano- 
nyme Hinweise abgegeben werden. Weitere Möglichkei- 


**2Vgl. ebd., S. 9. 

Vgl. Fox/Kelm, Computer-Forensik, DuD 2004, 491; Willer, 
Christoph/Floppen, Peter: Computerforensik - Technische Möglich- 
keiten und Grenzen. In: Computer imd Recht (CR), 23. Jg. 2007, 
Heft 9, S. 610, 614. 

684 Vgl. Bundesamt für Sicherheit und Informationstechnik: Leitfaden 
„IT-Forensik“, Version 1.0.1. März 2011, S. 213 f Online abrufbar 
unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/In 

temetsicherheit/Leitfaden_IT-Forensik_pdf.pdf? blob=publication 

File 

685 Vgl. Willer, Christoph/Hoppen, Peter: Computerforensik - Techni- 
sche Möglichkeiten und Grenzen. In: Computer imd Recht (CR), 
23. Jg. 2007, Heft 9, S. 610, 615. 

686 Vgl. Gercke, Marco in: Gercke, Marco/Brunst, Phillip W.: Praxis- 
handbuch Intemetstrafrecht. 2009, Rn. 7. 

687 Vgl. Brunst, Phillip W. in: Gercke, Marco/Brunst, Phillip W.: Praxis- 
handbuch Intemetstrafrecht. 2009, Rn. 940; o. V.: Interpol identifi- 
ziert Kinderschänder „Vico“. Tagesspiegel, 16. Oktober 2007. Online 
abralbar unter: http://www.tagesspiegel.de/weltspiegel/sexualverbre 
cher-interpol-identifiziert-kinderschaender-vico/1 070836.html; o. V.: 
Kanadischer Kinderschänder zu Haftstrafe verurteilt. Spiegel Online, 
15. August 2008. Online abmfbar unter: http://www.spiegel.de/pano 
rama/justiz/thailand-kanadischer-kinderschaender-zu-haftstrafe-vemr 
teilt-a-572232.html 

*** Einen solchen Service bieten bisher nicht der Freistaat Bayern, die 
Freie Hansestadt Bremen, Rheinland-Pfalz, das Saarland und der 
Freistaat Thüringen. 


ten sind besonders in der jüngsten Vergangenheit durch die 
Nutzung von sozialen Netzwerken wie Facebook zur 
Fahndungsunterstützung entstanden. Dabei ließen sich be- 
reits einige Erfolge erzielen, sodass sich die Nutzung so- 
zialer Netzwerke für die Zukunft anbietet. ®*^ 

2.3. 3. 6.6.3 Aus- und Weiterbildung des Personals 

Neben den technischen Ressourcen ist vor allem erforder- 
lich, dass das zur Strafverfolgung eingesetzte Personal 
über ein hohes Maß an technischen Kenntnissen verfügt. 
Entsprechende Angebote zur Weiterbildung existieren so- 
wohl auf Landes- als auch auf Bundesebene, beispiels- 
weise zahlreiche Lehrgänge in polizeilichen Ausbildungs- 
einrichtungen. Zudem führt das BKA „deutschlandweite 
Fortbildungs Veranstaltungen“ durch und die „Justizminis- 
terien der Länder richten Intemettagungen aus, auch das 
Tagungsprogramm der Deutschen Richterakademie ent- 
hält jedes Jahr mehrere solche Veranstaltungen.“®^® Da- 
rüber hinaus findet eine intensive Schulung von EDV-Fo- 
rensikem statt, die den Strafverfolgungsbehörden des 
Bundes und der Länder zugutekommt. Die internationalen 
Aus- und Weiterbildungsprogramme, die u. a. von Interpol 
und Europol ausgerichtet werden, wenden sich an Justiz 
und Polizei und decken ein breites Spektrum der EDV-Fo- 
rensik ab. 

Das prinzipielle Angebot dieser Lehrgänge, Fortbildun- 
gen usw. darf jedoch nicht über ein Manko hinwegtäu- 
schen, das in der Praxis kritisiert wird. So setze „die 
Wahrnehmung von Aus- und Fortbildungsangeboten häu- 
fig Eigeninitiative der Fortbildungsinteressierten“ voraus. 
Zudem sei „die hohe tägliche Arbeitsbelastung bei Justiz 
und Polizei oft ein Hindernis bei der Anmeldung auf 
Lehrgängen oder Tagungen, sofern eine Teilnahme nicht, 
was jedenfalls bei der Justiz die Ausnahme darstellt, ver- 
pflichtend ist.“®®' 

Zur Verbesserung dieser Situation wurde im Mai 2010 die 
„Arbeitsgruppe zur Bekämpfung der Informations- und 
Kommunikationskriminalität“ ins Leben gerufen und im 
Juni 2011 als ständige Einrichtung etabliert. Diese hat 
u. a. die Schaffung einer gemeinsamen Informationsplatt- 
form für Justiz und Polizei vorgeschlagen. Diese soll zum 
einen ein auf dem Wikipedia-Prinzip basierendes Online- 
Lexikon mit IT-relevantem Wissen beinhalten. Zum ande- 


689 Ygi Franosch, Rainer: Schriftliche Stellungnahme, vorgelegt im 
Rahmen des nicht öffentlichen Expertengespräches „Intemetkrimina- 
lität“ der Projektgruppe Zugang, Struktur und Sicherheit im Netz der 
Enquete-Kommission Internet und digitale Gesellschaft des Deut- 
schen Bundestages vom 5. März 2012, S. 13. Online abrufbar unter: 
http://www.bundestag.de/internetenquete/dokumentation/Zugang_ 
Struktur_und_Sicherheit_im_Netz/PGZuStrSi_2012-03-05/PGZuStr 
Si_2012-03-05_Stellungnahme_OStA_Franosch.pdf 

690 Ebd-, S.4. 

691 Franosch, Rainer: Schriftliche Stellungnahme, vorgelegt im Rahmen 
des nicht öffentlichen Expertengespräches „Intemetkriminalität“ der 
Projektgruppe Zugang, Struktur und Sicherheit im Netz der Enquete- 
Kommission Internet und digitale Gesellschaft des Deutschen Bun- 
destages vom 5. März 2012, S. 5. Online abrufbar unter: http://www. 
bundestag.de/intemetenquete/dokumentation/Zugang_Struktur_und_ 
Sicherheit_im_Netz/PGZuStrSi_2012-03-05/PGZuStrSi_2012-03-05 
_Stellungnahme_OStA_Franosch.pdf 
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ren soll das Lexikon flankiert werden von einem Kommu- 
nikationsforum, in dem die Inhalte auch von den Nutzem 
(ausschließlich aus Justiz und Polizei) diskutiert werden 
können, „damit der Informationsfluss nicht lediglich von 
der Redaktion zu den Nutzem verläuft, sondern auch zwi- 
schen den Nutzem, um Informationen sehr schnell ver- 
fügbar zu machen“. 

2.3.3.6.7 Einsatz von Anonymisierungs- 
technologien und Verschlüsselung 

Parallel zu den Möglichkeiten der Strafverfolgungsbehör- 
den kann auch der Täter verschiedene, an sich legale Mit- 
tel missbrauchen, um die Arbeit der Strafverfolgungsbe- 
hörden zu erschweren. Dabei sind drei Methoden der 
Verschleierang für Taten im Internet oder mit Intemet- 
technik als Tatmittel von besonderer Bedeutung. Der Tä- 
ter kann einerseits einen anonymen Intemetzugang benut- 
zen; er kann andererseits versuchen, seine IP-Adresse zu 
verschleiern und schließlich kann er Kommunikationsda- 
ten und lokale Daten durch Verschlüsselung gegen Zu- 
griff sichern. 

2. 3. 3. 6.8 Internationale Zusammenarbeit^s^ 

Hinsichtlich der Rechtsdurchsetzung bestehen auf inter- 
nationaler Ebene mehrere Organisationen der grenzüber- 
greifenden Zusammenarbeit. So nimmt das BKA sowohl 
bei Interpol als auch bei Europol Aufgaben für die Bun- 
desrepublik Deutschland wahr. Neben Europol existiert 
im Rahmen der EU zudem die Justizbehörde der Union, 
Eurojust. Diese ist durch Artikel 85 AEUV seit dem Ver- 
trag von Lissabon auch primärrechtlich verankert und 
dient der Koordiniemng und Zusammenarbeit der Straf- 
verfolgungsbehörden der Mitgliedstaaten. Eurojust^^^ be- 
mängelte 2010 in seinem Jahresbericht, dass nationale 
Behörden sich ausschließlich auf die Aufklärung von 
Straftaten innerhalb ihres Hoheitsgebiets beschränkten, 
anstatt diese auf EU-Ebene zu bekämpfen.®^ Ob und in- 


Ebd. 

693 Vgl. Gercke, Marco in: Gercke, Marco/Brunst, Phillip W.: Praxis- 
handbuch Intemetstrafrecht. 2009, Rn. 22; siehe auch Franosch, 
Rainer: Schriftliche Stellungnahme, vorgelegt im Rahmen des nicht 
öffentlichen Expertengespräches „Intemetkriminalität“ der Projekt- 
gruppe Zugang, Struktur und Sicherheit im Netz der Enquete-Kom- 
mission Internet und digitale Gesellschaft des Deutschen Bundesta- 
ges vom 5. März 2012, S. 9 f. Online abrufbar unter: http://www.bun 
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Vgl. Eurojust; Eurojust Jahresbericht 2010. 2011, S. 31. Online ab- 
mfbar unter: http://www.europarl.europa.eu/meetdocs/2009_2014/do 
cuments/libe/dv/eurojust_anual_report_2010_/eurojust_anual_report 
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wieweit dies auf deutsche Strafverfolgungsbehörden zu- 
trifft, lässt sich dem Jahresbericht nicht entnehmen. 

Schließlich existiert innerhalb der EU noch das European 
Judicial Network (Europäische Justizielle Netz, EJN), das 
insbesondere die Abwicklung von Rechtshilfeersuchen 
zwischen den nationalen Kontaktstellen erleichtern soll. 
Im Gegensatz zu Eurojust ist das EJN jedoch nicht zentra- 
listisch organisiert, sondern ein eher loser Verbund, der 
sich über regelmäßige Treffen organisiert. In Deutschland 
existieret je eine Kontaktstelle in jedem Bundesland, so- 
wie beim Generalbundesanwalt und dem Bundesamt für 
Justiz. 

3 Spionage 

3.1 Definition des Begriffs der Spionage 

Als Definition des Begriffs der Spionage wird vorge- 
schlagen: 

IT- Spionage oder Internet- Spionage ist das rechtswidrige 
Sichverschaffen von fremden, geschützten Daten, die auf 
einem Computer oder sonstigen informationstechnischen 
Systemen gespeichert sind, unter Verwendung von Com- 
puterprogrammen oder sonstigen technischen Mitteln. 

Ein Arbeitsbegriff ist erforderlich, da ein feststehender, 
legal definierter Begriff für Spionage ebenso wenig exis- 
tiert wie für Sabotage.®^’ Für den Arbeitsbegriff kann zu- 
nächst auf vorhandene Abgrenzungsversuche aus dem 
Strafrecht zurückgegriffen werden. Anhaltspunkte bieten 
die §§ 202a ff des Strafgesetzbuches (StGB), in denen 
seit dem 7. August 2007 die IT-Spionage geregelt ist. 
Umfasst ist sowohl das Ausspähen (§ 202a StGB), das 
Abfangen (§ 202b StGB) als auch das Vorbereiten dieser 
Straftaten (§ 202c StGB). Der hier vorgeschlagene Defi- 
nitionsversuch von IT- oder Internet- Spionage macht sich 
Elemente aus diesen Vorschriften zu eigen. 

3.1.1 Vorhandene Definitionen 

Ausgangspunkt für eine Begriffsdefinition ist § 202a 
StGB: 

„(1) Wer unbefugt sich oder einem anderen Zugang zu 
Daten, die nicht für ihn bestimmt und die gegen unbe- 
rechtigten Zugang besonders gesichert sind, unter Über- 
windung der Zugangssicherung verschafft, wird [...] be- 
straft. 

(2) Daten im Sinne des Absatzes 1 sind nur solche, die 
elektronisch, magnetisch oder sonst nicht unmittelbar 
wahrnehmbar gespeichert sind oder übermittelt werden.“ 

§ 202a Absatz 1 StGB verwendet in der Überschrift den 
Begriff des Ausspähens, im Normtext den Begriff des Zu- 
gangsverschaffens. Gemeint ist damit, dass der Täter sich 
oder einem Dritten Herrschaft über die Daten ver- 
schafft.®* Für die Tathandlung reicht aus, dass der Täter 
von den Daten Kenntnis nimmt oder - ohne Kenntnis- 


Siehe unten Kapitel 2/4. 1 . 

698 Ygj Kristian in: Lackner, Karl/Kühl, Kristian (Hrsg.). Strafge- 
setzbuch. Kommentar. 27., neu bearbeitete Auflage 2011, § 202a 
Rn. 5. 
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nähme - sich oder einem Dritten Besitz verschafft.®^ 
Nach dem Willen des Gesetzgebers soll aber nicht nur die 
Kenntnisnahme, sondern auch das bloße Eindringen in 
ein IT-System unter Strafe gestellt werden. Auch die 
landesverräterische Ausspähung gemäß § 96 Absatz 1 
StGB erfordert keine Kenntnisnahme des Inhalts, sondern 
versteht unter „Verschaffen“ bereits jede Handlung, durch 
die der Täter Kenntnis des Geheimnisses erlangt, ohne 
dass er dessen Bedeutung verstehen muss.’®* Die hier vor- 
geschlagene Definition bedient sich ebenfalls dieses Be- 
griffs; andernfalls wären alle Spionagehandlungen von 
der Definition ausgenommen, bei denen der Spion nicht 
weiß, welche Inhalte er ausspäht. Vor allem im Hinblick 
darauf, dass IT-Systeme auch in der Hoffnung auf Zu- 
fallsfunde ausgespäht werden, würde dies jedoch eine zu 
große Einengung bedeuten. 

Die hier vorgeschlagene Definition ist jedoch hinsichtlich 
der Tathandlung enger als § 202a Absatz 1 StGB, indem 
sie verlangt, dass das Ausspähen unter Verwendung von 
Computerprogrammen oder sonstigen technischen Mit- 
teln geschieht. Hierbei bezieht sich die Definition sowohl 
auf § 202b StGB, der dieses Tatbestandsmerkmal eben- 
falls verwendet („Wer unbefugt sich oder einem anderen 
unter Anwendung von technischen Mitteln nicht für ihn 
bestimmte Daten [...] verschafft, wird [...] bestraft 
[...]“), als auch auf § 202c Absatz 1 Nummer 2 StGB™^^ 
der u. a. die Verwendung von Computerprogrammen un- 
ter Strafe stellt, deren Zweck die Begehung einer der in 
§§ 202a, 202b StGB genannten Straftaten ist. Mit der Ver- 
wendung dieses Definitionsmerkmals wird die Internet- 
Spionage vom reinen Datenausspähen im Sinne des 
§ 202a Absatz 1 StGB abgegrenzt. Es sind alle diejenigen 
Tathandlungen ausgeschlossen, bei denen sich der Spion 
ohne Verwendung einer Schadsoftware oder eines Brute- 
Force-Algorithmus zur Ermittlung von Passwörtern o. Ä. 
Zugang verschafft. 

3.1.2 Abgrenzung vom Begriff Sabotage 

Die Grenzen zwischen IT-Spionage und IT-Sabotage ver- 
schwimmen bei der Frage, ob die unbemerkte Installation 
eines Computerprogramms auf einem fremden Rechner 
zur Ermöglichung eines weiteren, tiefer gehenden Ein- 


699 Ygi Lenckner, Theodor/Eisele, Jörg in: Schönke, Adolf/Schröder, 
Horst (Hrsg.): Strafgesetzbuch. Kommentar. 28., neu bearbeitete 
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Auflage 2011, § 202a Rn. 5. 

700 Vgl. Bundestagsdrucksache 16/3656: Gesetzentwurf der Bundesre- 
gierung. Entwurf eines ... Strafrechtsänderungsgesetzes zur Be- 
kämpfung der Computerkriminalität (... StrÄndG). 30. November 
2006, S. 7 ff Online abrufbar unter: http://dipbt.bundestag.de/dip21/ 
btd/16/036/1603656.pdf 

Vgl. Stemberg-Lieben, Detlev in: Schönke, Adolf/Schröder, Horst 
(Hrsg.): Strafgesetzbuch. Kommentar. 28., neu bearbeitete Auflage 
2010, §96 Rn. 4. 

Zur Auslegung von § 202c StGB entsprechend den Vorgaben durch 
das Bundesverfassungsgericht siehe oben Kapitel 2/2. 3. 3.1. 

Zum Beispiel gewaltsames Aufbrechen des Gehäuses und Auswerten 
von proprietärer Steuerungssoftware eines Glücksspielautomaten. 
Siehe Etter, Eberhard: Noch einmal - Systematisches Entleeren von 
Glücksspielautomaten. In: Computer und Recht (CR), 4. Jg. 1988, 
Heft 12, S. 1021, 1024. 


dringens (so genannte Backdoor-Trojaner) als Sabotage- 
oder Spionageakt zu verstehen ist. Zwar ist Sabotage oft- 
mals eine Vorstufe beziehungsweise notwendiges Hilfs- 
mittel für Spionagezwecke - und gleichermaßen Spio- 
nage auch für Sabotagezwecke -, doch unterscheiden sich 
Sabotage und Spionage im Wesentlichen durch die ver- 
folgten Ziele. Während Sabotage durch Datenverände- 
rung der Störung von (technischen) Abläufen beziehungs- 
weise der Zerstörung von Sachsubstanz dient, ist das 
Hauptziel der Spionage die Informationsgewinnung, ohne 
dass die betroffenen IT-Systeme zerstört oder beschädigt 
werden. 

3.2 Bedeutung des Internets für Spionage 

Hier kann im Wesentlichen auf die allgemein für den ge- 
samten Bereich der Intemetkriminalität gültigen Gege- 
benheiten verwiesen werden. Zu erwähnen wären noch 
folgende Aspekte: 

Spionagewerkzeuge sind im Internet erhältlich. Beson- 
dere Hacking- oder Coding-Kenntnisse sind nicht immer 
erforderlich, um Spionageakte auszuführen, da einige 
Hacker-Tools vollautomatisiert ablaufen und auch von so 
genannten Script-Kiddies, also unerfahrenen Hackern, die 
sich vorbereiteter Hacking-Tools bedienen, verwendet 
werden können. 

Wer im Internet spioniert, muss nicht aufwendig und 
teuer angeworben oder ausgebildet werden; er muss nicht 
unter größtem Risiko in Unternehmen oder Behörden ein- 
geschleust werden; er muss kein Doppelleben führen und 
auch das Entdeckungsrisiko minimiert sich dahingehend, 
dass zwar die Datenverbindung gekappt wird, der im 
Ausland sitzende Spion aber häufig weder Inhaftierung 
noch Verhöre zu befürchten hat. Somit ist IT-Spionage im 
Verhältnis zur „klassischen“ Spionage einfach, risikoarm 
und kostengünstig. 

Die Möglichkeit der Verschleierung der eigenen Identität 
führt dazu, dass Spionageakte von Ermittlungsbehörden 
und -diensten oft nicht ohne Weiteres als feindliche Akte 
ausländischer Staaten oder Organisationen erkannt wer- 
den können, sodass Spionage über das Internet für diese 
Späher politisch-militärisch wesentlich geringere Risiken 
bieten dürfte als die „herkömmliche“ Spionage. 

Auch im Verfassungsschutzbericht 2011 wird neben der 
Gefahr der „klassischen“ Spionage durch Diplomaten und 
durch als Journalisten getarnte Agenten auch die Verwen- 
dung des Internets als Spionagemittel besonders hervor- 
gehoben. 


™ Siehe auch oben Kapitel 2/2. 1 .6. und 2. 1 .7. 

705 Vgl. Gercke, Marco in: Gercke, Marco/Brunst, Phillip W.: Praxis- 
handbuch Intemetstrafrecht. 2009, Rn. 16. 

706 Vgl. Emst, Stefan: Computerstrafrecht 2007. In: Der Sachverständi- 
ge (DS), 34. Jg. 2007, Heft 11, S. 335, 337 f.; Gaycken, Sandro: Cy- 
berwar: Das Internet als Kriegsschauplatz. 2011, S. 50. 

707 Ygi Gaycken, Sandro: Cyberwar: Das Internet als Kriegsschauplatz. 
2011, S. 139. 

™8Vgl. ebd., S. 140. 

709 Ygl. Bundesamt für Verfassungsschutz: Verfassungsschutzbericht 
2011. Vorabfassung. 2012, S. 350 ff Online abmfbar unter: http:// 
www.verfassungsschutz.de/download/SHOW/vsbericht_201 Ivorab 
fassung.pdf 
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Zusammenfassend lässt sich daher sagen, dass die IT-Spio- 
nage kaum noch mit der „herkömmlichen“ Spionage ver- 
gleichbar ist, insbesondere da der Zugriff auf Daten durch 
deren Körperlosigkeit sowie die wachsende Vernetzung 
mittlerweile keine körperliche Anwesenheit des Täters 
mehr voraussetzt (und sei es nur zur Installation von Ab- 
hörgeräten in Telefonen), ln Bezug auf die finanzielle, 
technische und personelle Hemmschwelle hat sich die 
Spionage durch ihren IT-Bezug nunmehr folglich der nor- 
malen Intemetkriminalität angenähert, sodass der Unter- 
schied zwischen beiden Bereichen in erster Linie defini- 
torischer Natur ist. 

3.3 Akteure 

Es lassen sich einzelne Gruppen von Akteuren zusam- 
menfassen. Während bei einigen Akteuren die Begehung 
von Straftaten im Vordergrund steht und sie daher über- 
wiegend als Täter auftreten, sind andere Akteure vielfäl- 
tig motiviert und können daher wechselnd sowohl als Tä- 
ter als auch als Opfer auftreten. 

3.3.1 Hacker^io 

Entstanden ist die Hackercommunity ursprünglich in ei- 
nem nicht kommerziellen Kontext, zu einer Zeit, als Si- 
cherheitstechnik noch nicht vertrieben wurde. Auch der 
universitäre Einfluss war stark. Dabei spielte eine Rolle, 
dass Rechner an Universitäten, die zu Forschungszwe- 
cken benutzt wurden, zum Hacken eingesetzt werden 
konnten. Eine Kultur des Teilens und Tauschens von In- 
formationen war das vorherrschende Paradigma, aus dem 
auch die Open- Source- Szene hervorging. 

Eine Definition des Begriffs findet sich im „Hacker‘s 
Dictionary“: Ein Hacker sei „eine Person, die Spaß daran 
hat, die Feinheiten programmierbarer Systeme zu erfor- 
schen und ihre Möglichkeiten auszureizen“. Das trifft 
die Essenz des Hackens aber nur bedingt, denn neben 
Neugier und wachsender Erfahrung spielen eine typische 
Geisteshaltung und eine gewisse Skepsis gegenüber den 
Angaben der Hersteller von Systemen eine Rolle. Als der 
Begriff des Computer-Hackers Ende der fünfziger Jahre 
erfunden wurde, hatte er durchaus keine negative oder de- 
struktive Konnotation. Hacken bedeutete, durch techni- 
sche Operationen Grenzen zu finden und zu erweitern, 
aber auch. Wissen zu teilen und gemeinsam an techni- 
schen Systemen zu forschen. Bis heute versteht man unter 
Hacken die Fähigkeit, Technik in unerwarteter, neuer 
Weise zu verwenden, die vom Hersteller nicht unbedingt 
intendiert ist. Es geht darum, die Fähigkeiten eines Com- 
puters auszureizen und Sperren, die eine solche Nutzung 
verhindern, gegebenenfalls zu umgehen. Auch wollen 


Ausführungen in Kapitel 2/3.3. 1 beruhen auf einem von der 
Sachverständigen Constanze Kurz in der FAZ veröffentlichten Arti- 
kel. Siehe hierzu: Kurz, Constanze: Aus dem Maschinenraum - Der 
Hacker. FAZ, 19. Februar 2010. Online abrufbar unter: http:// 
www.faz.net/aktuell/feuilleton/aus-dem-maschinenraum/aus-dem- 
maschinenraum-der-hacker-1939779.html 

Vgl. Raymond, Eric S.: The New Hacker's Dictionary. 3. Auflage 
1996, S. 233. 


Hacker sich nicht damit zufriedengeben, dass ein techni- 
sches System etwa aus Gründen eines Geschäftsmodells 
eingeschränkt wird. 

Mit einem solchen intimen Verständnis aller Kleinigkei- 
ten und Details von Technologien, die vielleicht neue 
Wege, neue Möglichkeiten eröffnen, geht auch eine ge- 
sellschaftliche Verantwortung einher. Dies wird jedem 
Hacker bewusst, sobald er zum ersten Mal eine echte 
technische Grenze überschreitet und verborgene Daten 
offenlegt. Hinzu kommt die Verantwortung, mehr über 
die technischen Systeme herauszufinden, die unseren All- 
tag immer weitgehender beherrschen. Denn Technik hat 
letztlich stets auch politische Implikationen. 

Die Hacker-Ethik, eine Sammlung ethischer Werte, die 
für die Hacker-Kultur als maßgeblich betrachtet wird,^'^ 
hält dazu an, betroffene Systeme so zu hacken, dass mög- 
lichst wenig oder kein Schaden verursacht wird. Es soll 
lediglich der Beleg einer vorhandenen Sicherheitslücke 
erbracht werden, aber beispielsweise keine Daten verän- 
dert oder gelöscht werden. Heute übliche Angriffsmetho- 
den wie Botnetze (siehe Kapitel 2/2. 1.5.1) widersprechen 
einer solchen Hackerethik eindeutig. Auch legen die Be- 
troffenen Wert darauf, dass Fähigkeiten, Erfolge, Kompe- 
tenzen und Erfahrungen anerkannt werden. Hacker wol- 
len nach ihrem Handeln beurteilt werden, die Hacker- 
Community ist insofern meritokratisch organisiert. 

Im Laufe der Zeit hat sich jedoch das Image der Hacker 
verändert, nicht zuletzt in den Medien, weil auch Krimi- 
nelle sich gern als Hacker bezeichnen. 

3.3.2 Organisierte Kriminaiität 

Auch im Feld der Spionage spielen organisierte Krimina- 
litätsformen eine Rolle. Dabei kann aber auf die Ausfüh- 
rungen in Kapitel 2/2 zur Kriminalität im Internet verwie- 
sen werden. 

3.3.3 Staaten 

Aufgrund fehlender Fakten ist es schwer festzustellen, ob 
überhaupt und in welchem Umfang Staaten Spionagean- 
griffe auf andere Staaten unternommen haben. Lediglich 
in letzter Zeit sind einige Fälle in Medienberichten öffent- 
lich geworden, bei denen mutmaßlich Spionageangriffe 
anderer Staaten auf Deutschland registriert worden sind. 
So wurde im August 2007 berichtet, dass China mutmaß- 
lich das deutsche Kanzleramt mit Trojanern infizierte, um 
so an vertrauliche Daten zu gelangen. Der Verfassungs- 
schutz soll dabei das Ausspähen von 160 Gigabyte Daten 
verhindert haben. Russland soll im November 2008 mit 
einem Virus^*^ Computer des amerikanischen Verteidi- 


Vgl. Chaos Computer Club (CCC): hackerethics. Online abrufbar un- 
ter: http://www.ccc.de/hackerethics 
Siehe oben Kapitel 2/2. 1.5.4. 

"^^“^Vgl. Opitz, Rudolf: China späht angeblich PCs des Bundeskanzler- 
amtes aus. heise online, 25. August 2007. URL: http://heise.de/ 
-167017 

Informationen zu dem Virus sind online abrufbar beispielsweise un- 
ter: http://www.f-secure.eom/v-descs/worm_w32_agent_btz.shtml# 
additional 
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gungsministeriums Pentagon ausspioniert haben. Nach 
einem anderen Angriff auf das Pentagon, bei dem 24 000 
sensible Dokumente ausgespäht wurden, legte das US- 
Verteidigungsministerium im Juli 2011 ein Strategiepa- 
pier7i8 zur Bekämpfung von Attacken aus dem Cyber- 
space vor. 

Die Mehrzahl der Spionageangriffe aus dem Ausland 
stammt dem Verfassungsschutzbericht 2011 zufolge aus 
Russland und China.'^'^ 

Mutmaßlich richten Geheimdienste sich nicht nur gegen 
staatliche Ziele, sondern betreiben mit großer Wahr- 
scheinlichkeit auch Wirtschafts- und Industriespionage. 
Die Aufklärungsziele sind dabei zum einen Großunter- 
nehmen wie Google, dem bei einer mutmaßlich aus China 
stammenden Attacke u. a. der Quellcode des Authentifi- 
zierungssystems Gaia gestohlen wurde, welches in na- 
hezu allen Google-Diensten zur Anwendung kommt. ^20 
Aber auch die mittelständische Wirtschaft gilt als Zielob- 
jekt, da sie anscheinend aufgrund der hohen Kosten nur 
über weniger effektive Abwehrmöglichkeiten verfügt und 
auch die Gefahren der Wirtschaftsspionage unter- 
schätzt. So forderte erst kürzlich der damalige Präsi- 
dent des Verfassungsschutzes, Heinz Fromm, einen bes- 
seren Schutz vor Wirtschaftsspionage für deutsche 
Unternehmen. ^22 besonderem Interesse für staatliche 
Geheimdienste ist die Gewinnung von Informationen, 
Forschungsergebnissen und Bauplänen bezüglich militä- 
risch nutzbarer Güter sowie Dual-Use-Gütem, also zivi- 
len Produkten, die auch militärisch genutzt werden kön- 
nen.™ 

3.3.4 Wirtschaft 

Wirtschaflsuntemehmen könnten ein Interesse daran ha- 
ben, an vertrauliche Informationen von staatlichen Stellen 


Vgl. Rötzer, Florian: Virusangriff auf Pentagon-Rechner soll von 
Russland ausgegangen sein, heise online, 28. November 2008. On- 
line abrufbar unter: http://heise.de/-218635 

Vgl. Wilkens, Andrea: USA legen Verteidigungsstrategie für den Cy- 
berspace vor - Update, heise online, 4. Juli 2011. Online abrufbar un- 
ter: http://heise.de/-1279764 

Department of Defense/USA: Strategy for Operating in Cyber- 
space. Juli 2011. Online abrufbar unter: http://www.defense.gov/ 
news/d20 11071 4cyber.pdf 

Vgl. Bundesamt für Verfassungsschutz: Verfassungsschutzbericht 
2011. Vorabfassung. 2012, S. 321. Online abrufbar unter: http:// 
www.verfassungsschutz.de/download/SHOW/vsbericht_20 1 Ivorab 
fassung.pdf 

720 Ygi Markoff, John: Cyberattack on Google Said to Hit Password 
System. The New York Times, 19. April 2010. Online abrufbar unter: 
http://www.nytimes.com/2010/04/20/technology/20google.html?_i=0 
Vgl. Bundesamt für Verfassungsschutz: Verfassungsschutzbericht 
2011. Vorabfassung. 2012, S. 354. Online abrufbar unter: http:// 
www.verfassungsschutz.de/download/SHOW/vsbericht_20 1 Ivorab 
fassung.pdf 

722 Ygi Rebehn, Sven: „Die Bedrohungslage bleibt ernst“. Neue Osna- 
brücker Zeitung, 15. April 2011. Online abrufbar unter: http://www. 
noz.de/deutschland-und-welt/politik/53496986/die-bedrohungslage- 
bleibt-emst 

723 Ygl. Möhrenschlager, Manfred in: Wabnitz/Janovsky, Handbuch des 
Wirtschafts- und Steuerstrafrechts, 3. Aufl. 2007, Kapitel 13 II 1 
Rn. 2. 


und anderen privatwirtschaftlichen Unternehmen zu ge- 
langen. Die denkbaren Spionageziele sind dabei vielfäl- 
tig. Zum einen könnte sich ein Unternehmen über den 
Stand bei einem Vergabeverfahren öffentlicher Aufträge 
oder eines Investitionsvorhabens informieren wollen, um 
seine Position durch Anpassung des eigenen Angebots zu 
verbessern. Das Ausspähen von technischen Lösungen im 
Vorfeld von einer Patentanmeldung oder bei der Anmel- 
dung in Patentämtern kann einem Unternehmen ebenso 
einen Vorteil verschaffen wie die Kenntniserlangung über 
den Ermittlungsstand in einem Kartellverfahren. Aber 
auch auf lokaler Ebene kann das Ausspähen von Daten, 
zum Beispiel bei der Vergabe öffentlicher Aufträge, eine 
große Rolle spielen. 

Es ist nicht immer feststellbar, ob hinter Angreifern Wirt- 
schaftsuntemehmen oder staatliche Behörden stehen. 
Dennoch dürften auch Fälle von Wirtschaftsspionage ein- 
deutig zu den berichteten Sachverhalten gehören, zumal 
sich bei einigen Staaten politisch motivierte von wirt- 
schaftlich motivierten Angriffen nur schwer trennen las- 
sen, etwa beim Zugang zu Hochtechnologie. ^^4 2war sind 
keine Fälle bekannt, in denen Wirtschaftsuntemehmen 
gezielt Konkurrenten ausspähen; doch ist anzunehmen, 
dass frühere Spionageaktivitäten inzwischen per Internet 
(wesentlich effizienter) fortgesetzt werden. 

Hinzu kommen aber wohl auch Wirtschaftsuntemehmen, 
die die schon früher bestehende Wirtschaftsspionage auf 
das Internet erstrecken, um Untemehmensgeheimnisse 
ihrer Konkurrenten auszuspähen. 

3.3.5 Weitere Akteure 

Zu den Akteuren zählen auch Personen(-gmppen), die er- 
gänzend tätig werden und den Drahtziehern beispiels- 
weise erst das für den Angriff erforderliche Wissen und 
die Ausrüstung verschaffen. Dies können die Produzen- 
ten von Schadsoftware sein, aber auch Mittelspersonen, 
die lediglich als „Dealer“ der Schadsoftware auftreten. 
Insofern kommen all jene in Betracht, die den Drahtzie- 
hern der Angriffe Ressourcen bereitstellen oder program- 
miertechnische Auftragsarbeit leisten (vgl. zum Handel 
mit Zero-Day-Exploits Kapitel 212.2.2.2). 

3.4 Bedrohungen, Angriffsmittel 
und Schutzmöglichkeiten 

Hinsichtlich der Angriffsmittel, Ursachen und Motivatio- 
nen kann auf die Ausfühmngen in Kapitel 2/2 zur Krimi- 
nalität im Internet verwiesen werden. Speziell in Bezug 
auf Spionage ist lediglich anzumerken, dass sich die ein- 
schlägigen Attacken von der übrigen Kriminalität im In- 
ternet insofern unterscheiden, als sich ihre Ausmaße nicht 
selten in größeren Dimensionen bewegen. 


Siehe Nuri, Midia: Mittelstand im Visier von Wirtschaftsspionen. 
Handelsblatt, 4. März 2009. Online abrulbar unter: http://www.han 
delsblatt.com/untemehmen/mittelstand/wirtschaftsspionage-mittel 
stand-im-visier-von-wirtschaftsspionen-seite-all/3 127338-all.html 
Siehe oben Kapitel 2/2. 1.4., 2.1.5, 2.1.6, 2.1.7, sowie 2.2. 
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3.5 Vorhandene Regelungen und Maß- 

nahmen zum Schutz vor Spionage 

3.5.1 Internationale Regelungen 
und Maßnahmen 

Wie schon in Kapitel 2/2 zur Kriminalität im Internet aus- 
gefiihrt, bedingt die Globalität des Internets erhebliche 
Anstrengungen in der internationalen Zusammenarbeit. 
Auf die dortigen Ausführungen sei auch an dieser Stelle 

verwiesen . ^26 

3.5.2 Nationale Regelungen und Maßnahmen 

Über die bereits in Kapitel 2/2 zur Kriminalität im Inter- 
net aufgeführten Grundlagen hinaus sind hier einige spio- 
nage-spezifische Regelungen und Maßnahmen hervorzu- 
heben: 

3. 5.2.1 Strafverfolgung 

3. 5.2. 1.1 Landesverrat und Gefährdung 
der äußeren Sicherheit 

Die Strafvorschriften der §§93 ff. StGB sind Normen, die 
den Missbrauch von Staatsgeheimnissen unter Strafe stel- 
len. Hierbei handelt es sich nicht um spezifische, aus- 
schließlich Internet- Spionage betreffende Vorschriften, 
sondern um solche, die Spionage im Allgemeinen unter 
Strafe stellen. Dazu gehören: 

- § 94 StGB (Landesverrat), 

- § 95 StGB (Offenbarung von Staatsgeheimnissen), 

- § 96 StGB (Landesverräterische Ausspähung; Aus- 
kundschaften von Staatsgeheimnissen), 

- § 97 StGB (Preisgabe von Staatsgeheimnissen), 

- § 97a StGB (Verrat illegaler Geheimnisse), 

- § 97b StGB (Verrat in irriger Annahme eines illegalen 
Geheimnisses), 

- § 98 StGB (Landesverräterische Agententätigkeit), 

- § 99 StGB (Geheimdienstliche Agententätigkeit). 

Die genannten Normen basieren größtenteils auf dem Be- 
griff des Staatsgeheimnisses im Sinne von § 93 StGB. 
Staatsgeheimnisse sind der darin enthaltenen Legaldefini- 
tion zufolge „Tatsachen, Gegenstände oder Erkenntnisse, 
die nur einem begrenzten Personenkreis zugänglich sind 
und vor einer fremden Macht geheim gehalten werden 
müssen, um die Gefahr eines schweren Nachteils für die 
äußere Sicherheit der Bundesrepublik Deutschland abzu- 
wenden“. 

3. 5.2. 1.2 Rechtsdurchsetzung 

Wie schon allgemein in Kapitel 2/2 zur Kriminalität im 
Internet ausgeführt, gilt auch für die Bekämpfung von 
Spionageakten, dass nicht nur materielle Regeln, sondern 


™ Siehe oben Kapitel 2/2. 3.1. 


auch deren Durchsetzung (englisch: Enforcement) maß- 
geblich ist. '^27 

Bei der Bekämpfung von Kriminalität im Internet spielt 
insbesondere die hohe technische Komplexität von Da- 
tenverarbeitungsvorgängen und Telekommunikation eine 
wesentliche Rolle. In diesem Zusammenhang wird von 
Praxisseite auch auf das Erfordernis entsprechender Aus- 
und Weiterbildung der in der Strafverfolgung tätigen Per- 
sonen verwiesen . '^28 Relevant sind die Beherrschung der 
erforderlichen Ermittlungsmethoden und der entspre- 
chenden forensischen Auswertungs- und Ermittlungssoft- 
ware sowohl für die Polizei und Staatsanwaltschaft als 
auch für die Gerichte. Auf Bundes- und Länderebene 
wird hierzu ein entsprechendes Schulungsangebot in 
Form von Lehrgängen, Fortbildungsveranstaltungen und 
Intemettagungen durch das Bundeskriminalamt (BKA), 
die Justizministerien der Länder, die Deutsche Richter- 
akademie und das Bundesamt für Sicherheit in der Infor- 
mationstechnik (BSI) angeboten und gefördert. ™ 

Neben diesen Faktoren von technischem Hintergrund wis- 
sen der Strafverfolgungsbehörden sind auch die strafpro- 
zessualen Rahmenbedingungen maßgeblich für den Er- 
folg oder Misserfolg der Bekämpfung von Spionageakten 
und Kriminalität im Internet. Die Strafprozessordnung 
bietet durchaus brauchbare Instrumente zur Täterermitt- 
lung. So werden von der Praxisseite die Maßnahmen der 
Telekommunikationsüberwachung und Observation 
(§§ 100a, 100g, 100h StPO) sowie die verdeckte perso- 
nale Intemetermittlung als erfolgreich beschrieben. Ge- 
rade angesichts der Anonymisierungsmöglichkeiten, die 
das Internet bietet, werden Ermittlungen etwa in sozialen 
Netzwerken zukünftig an Bedeutung gewinnen. 

3.5.2.2 Sonstige Maßnahmen und Anreize 

Für die Frage, welche technischen oder sonstigen Schutz- 
maßnahmen bestehen, die den Schutz durch die genann- 
ten strafrechtlichen Normen flankieren, kann an dieser 
Stelle auf die einschlägigen Ausführungen in Kapitel 2/2 
zur Kriminalität im Internet verwiesen werden, insbeson- 
dere auf die Regelung des § 17 Absatz 1, 2 Nummer la 
UWG, der eine Form der „herkömmlichen“ Spionage pö- 
nalisiert. 

Speziell im Hinblick auf Spionage ist überdies zu beden- 
ken, dass zumindest nicht auszuschließen ist, dass es sich 
bei den Akteuren auf Täterseite um Akteure aus dem glo- 
balen politischen Bereich handelt. Anders als bei sonsti- 
gen Tätern wird die Rechtsdurchsetzung in diesen Fällen 
zusätzlich dadurch erschwert, dass der rein justizielle Be- 
reich der Strafverfolgung überlagert wird von politisch- 
diplomatischen Erwägungen, die etwaigen Strafverfol- 
gungsmaßnahmen und selbst der offiziellen öffentlichen 


777 Siehe hierzu oben Kapitel 2/2.3. 3. 6. 

728 Ygj Franosch, Rainer: Schriftliche Stellungnahme, vorgelegt im 
Rahmen des nicht öffentlichen Expertengespräches „Intemetkrimina- 
lität“, S. 4. Online abrufbar unter: http://www.bundes tag.de/intemet 
enquete/dokumentation/ZugangStrukturundSicherheitimNetz/ 
PGZuStrSi_2012-03-05_Stellungnahme_OStA_Fran osch.pdf 

727 Vgl. ebd. 

73» Vgl. ebd. 
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Kommunikation über etwaige Verfahren im Wege stehen 
könnten. 

3.6 Risikoeinschätzung 

Für die Einschätzung der Risiken ist das Wissen über die 
relevanten Faktoren maßgeblich, die Spionage begünsti- 
gen oder ihr auch entgegenstehen, und schließlich der 
Grad und das potenzielle Ausmaß von Schäden. Eine Ri- 
sikoanalyse ist hier nicht anders als bei anderen Techno- 
logien (zum Beispiel im Industrieanlagenrecht) anhand 
folgender Kriterien durchzuführen: 

- Bedrohte Akteure (Staat, Wirtschaft, Gesellschaft), 

- bedrohte Rechtsgüter, 

- Wahrscheinlichkeit und Ausmaß des Schadens sowie 
eine 

- Kosten-Nutzen-Abwägung. 

Rechtsgüter können hier unmittelbar und mittelbar be- 
droht sein. Konkret sind dies: 

- Finanzielle Schäden, entstanden durch entwendete 
Passwörter, Kreditkartendaten, gehackte PayPal-Ac- 
counts o. Ä.^31 Dies gilt erst recht für Phishing-Atta- 
cken, die dazu führen, dass erwünschte vereinfachte 
Zahlungsmethoden von Nutzerinnen und Nutzem 
nicht mehr verwandt werden, 

- digitale Identitäten^^^ deren Missbrauch bezie- 
hungsweise „Diebstahl“, 

- Verlust vertraulicher Untemehmensdaten^^^, 

- Missbrauch von Netzwerkressourcen^^'*, 

- Ruf- und Markenschädigungen’35^ 

- das Recht auf informationeile Selbstbestimmung be- 
ziehungsweise auf Gewährleistung der Vertraulichkeit 
und Integrität informationstechnischer Systeme’^®. 

Organisierte Kriminalität kann durch Spionage erhebliche 
Schäden anrichten. Sie kann, wenn sie den großen Profit 
erkennt, die notwendigen Mittel aufbringen sowie Ver- 
triebswege für erlangfe Informationen schaffen oder zur 
Verfügung sfellen.^^^ Aufgmnd der höheren Professiona- 


Vgl. Panda, S. N./Mangla, Vikram: Protecting Data from the Cyber 
Theft - a Virulent Disease. In: Journal of Emerging Technologies in 
Web Intelligence, 2. Jg. 2010, Heft 2, S. 152. 

Zum Begriff: Gercke, Marco: Die Bekämpfung der Intemetkriminali- 
tät als Herausforderung für die Strafverfolgungsbehörden. In: Multi- 
Media und Recht (MMR), 11. Jg. 2008, Heft 5, S. 291, 291 f 

733 Ygi Panda, S. N./Mangla, Vikram: Protecting Data from the Cyber 
Theft - a Virulent Disease. In: Journal of Emerging Technologies in 
Web Intelligence, 2. Jg. 2010, Heft 2, S. 152. 

™ Vgl. ebd. 

Vgl. ebd. 

736 Yom Bundesverfassungsgericht beschrieben in: Entscheidungen 
des Bundesverfassungsgerichts (BVerfGE) 120, S. 274 ff. - Online- 
Durchsuchung. 

737 Ygi Gaycken, Sandro: Schriftliche Stellungnahme, vorgelegt im 
Rahmen des Expertengespräches „Sicherheit im Netz“ der Projekt- 
gruppe Zugang, Struktur und Sicherheit im Netz der Enquete-Kom- 
mission Internet und Digitale Gesellschaft des Deutschen Bundes- 
tages vom 28. November 2011, S. 2. Online abrufbar unter: http:// 


lisiemng isf es ebenfalls nicht ausgeschlossen, dass sich 
die organisierte Kriminalität eines Innentäters bedient, 
um Informationsinfrastmkturen anzugreife, wodurch sie 
nicht auf einen Angriff über das Internet angewiesen 
ist.^^* Damit wären auch entkoppelte Netze und Systeme 
gefährdet. Militärisch-nachrichtendienstliche Angreifer 
können durch Wirtschaftsspionage fremde Volkswirt- 
schaften zugunsten der eigenen Volkswirtschaft schädi- 
gen. Diese Angreifer verfügen zudem über die notwen- 
digen Mittel, großangelegte Operationen vorzubereiten 
und durchzuführen. 

Nach Aussage des BSI werden Spionage- Angriffe gegen 
die Bundesverwaltung insbesondere durch mit Schadsoft- 
ware infizierte Dokumente geführt.^"'*' Aus den dem BSI 
vorliegenden Daten lässt sich jedoch nicht schließen, ob 
es sich dabei um staatliche Angreifer oder Angreifer aus 
dem Bereich der organisierten Kriminalität handelt.^"*' 
Um sich einen präziseren Überblick zu verschaffen, feh- 
len derzeit hinreichende Forschungserkenntnisse. 

4 Sabotage 

4.1 Definition des Begriffs der Sabotage 

Als Definition des Begriffs der Sabotage wird vorge- 

schlagen: 

Nutzung von IT und des Internets zur absichtlichen Be- 
einträchtigung und Zerstörung von wirtschaftlichen, 

staatlichen oder gesellschaftlichen Rechtsgütem, die für 
die Sicherheif der Bundesrepublik Deutschland und die 
Gesamtwirtschaft bedeutsam sind, um ein ideologisches, 
politisches oder wirtschaftliches Ziel durchzusetzen. 

Ein Arbeitsbegriff ist erforderlich, da der Terminus der 
Sabotage uneinheitlich verwandt wird: 

- „Sachen, die in erhöhtem Maße der Gefahr eines ge- 
meingefährlichen Missbrauchs (Sabotage) ausgesetzt 
sind“’«, 

- „absichtliche [planmäßige] Beeinträchtigung der Leis- 
tungsfähigkeit politischer, militärischer oder wirt- 


www.bundestag.de/intemetenquete/dokumentation/Zugang_Stmktur 
_und_Sicherheit_im_Netz/PGZustrSi_20I I-I I-28_oeffentliches_Ex 
pertengespraech/PGZuStSi_20 1 1 - 1 1 -28_Expeitengespraech_Stellung 
nahme_DrGaycken.pdf 

738 Vgl. ebd. 

739 Vgl. ebd. 

740 Vgl. Könen, Andreas: Schriftliche Stellungnahme, vorgelegt im Rah- 
men des Expertengespräches „Sicherheit im Netz“ der Projektgmppe 
Zugang, Struktur und Sicherheit im Netz der Enquete-Kommission 
Internet und Digitale Gesellschaft des Deutschen Bundestages vom 
28. November 2011, Frage 1 c). Online abmibar unter: http://www. 
bundestag.de/intemetenquete/dokumentation/Zugang_Stmktur_und_ 
Sicherheit_im_Netz/PGZustrSi_20 11-11 -28_oeffentliches_Experten 
gespraech/PGZuStSi_20 11-11 -28_Expertengespraech_Stellungnahme 
_Koenen.pdf 

741 Vgl. ebd. 

742 Sonntag, Matthias: IT-Sicherheit kritischer Infrastmkturen: Von der 
Staatsaufgabe zur rechtlichen Ausgestaltung. 2005, S. 153, unter Be- 
zugnahme auf den Verwaltungsgerichtshof (VGH) Baden-Württem- 
berg, Entscheidung vom 15. Juni 1982 - 10 S 428/80 (nicht rechts- 
kräftig). In: JuristenZeitung (JZ) 1983, S. 104 f., der selbst allerdings 
den Begriff „Sabotage“ nicht nennt. 
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schaftlicher Einrichtungen durch [passiven] Wider- 
stand, Störung des Arbeitsablaufs oder Beschädigung 
und Zerstörung von Anlagen, Maschinen o. 

- „bewusste Beeinträchtigung von militärischen oder 
politischen Aktionen oder von Produktionsabläufen 
zum Beispiel durch (passiven) Widerstand oder durch 
Zerstörung wichtiger Anlagen und Einrichtungen. 

Konkretere und präziser gefasste Begriffe finden sich im 
Strafgesetzbuch, namentlich in §§ 87, 88, 109e und 303b 
StGB. Demnach definiert § 87 Absatz 2 StGB die Sabota- 
gehandlungen als: 

„1. Handlungen, die den Tatbestand der §§ 109e, 305, 
306 bis 306c, 307 bis 309, 313, 315, 315b, 316b, 316c 
Abs. 1 Nr. 2, der §§ 317 oder 318 verwirklichen, und 

2. andere Handlungen, durch die der Betrieb eines für 
die Landesverteidigung, den Schutz der Zivilbevölkerung 
gegen Kriegsgefahren oder für die Gesamtwirtschaft 
wichtigen Unternehmens dadurch verhindert oder gestört 
wird, daß eine dem Betrieb dienende Sache zerstört, be- 
schädigt, beseitigt, verändert oder unbrauchbar gemacht 
oder daß die für den Betrieb bestimmte Energie entzogen 
wird.“ 

Im Kern enthält Nummer 2 die auch hier relevante Defi- 
nition, die allerdings verengt ist auf den Schutz bestimm- 
ter kritischer Einrichtungen und Infrastrukturen oder Un- 
ternehmen. 

Breiter ist demgegenüber in § 303b StGB der Begriff der 
Computersabotage angelegt, der schon bei einer erhebli- 
chen Störung einer (bedeutsamen) Datenverarbeitung ein- 
greift, sei es durch Dateneingabe oder Manipulation von 
Datenverarbeitungsanlagen oder Datenträgern (Absatz 1). 
Strafverschärfend wirken auch hier nach Absatz 4 Num- 
mer 3 Angriffe auf für die Sicherheit der Bundesrepublik 
Deutschland lebenswichtigen Einrichtungen. 

Daraus wird die uneinheitliche Verwendung deutlich: 
Computersabotage reiht sich in die EDV-bezogenen De- 
likte ein, während Sabotage nach § 87 StGB deutlich auf 
die Gefährdungen des Gemeinwesens bezogen ist. Die 
Computersabotage nach § 303b StGB gehört daher eher 
in den anderweitig zu diskutierenden Zusammenhang der 
Kriminalität im Internet. Auch die Polizeiliche Krimi- 
nalstatistik (PKS) 2011 folgt dieser Gewichtung, indem 
sie Computersabotage im Sinne von § 303b StGB als ei- 
nen Bestandteil von „luK-Kriminalität im engeren Sinne“ 
qualifiziert.^'*^ 


Duden - Das große Wörterbuch der deutschen Sprache. 3. Auflage 
1999, Band?. 

Brockhaus - Die Enzyklopädie in 24 Bänden. 20. Auflage 1998, 
Band 18. 

745 Ygi hierzu die Ausfuhrungen in Kapitel 2/1.3. 

746 Ygi Bundesministerium des Innern: Polizeiliche Kriminalstatistik 
2011. April 2012, S. 4. Online abrufbar unter: http://vvww.bmi. 
bund.de/SharedDocs/Downloads/DE/Broschueren/20 12/PKS20 1 1 . 

pdf? blob=publicationFile; im Cybercrime Bundeslagebild 2010 

des BKA wird hierfür der Begriff „Cybercrime im engeren Sinne“ 
verwendet, der wiederum definiert wird als alle Straftaten, die unter 


Sabotage ist schließlich gegenüber terroristischen Akten 
der umfassendere Begriff, da Terrorismus hier als Akte 
krimineller Vereinigungen im Sinne von § 129a StGB 
verstanden wird. 

4.2 Bedeutung des Internets für Sabotage 

Das Internet spielt sowohl als Hilfsmittel als auch als Ziel 
von Sabotageakten eine große Rolle, denn neben den 
auch für den Bereich der fntemetkriminalität gültigen Ge- 
gebenheiten (Unabhängigkeit von Tat- und Handlungsort, 
einfache Angreifer-fdentitätsverschleierung und -fingie- 
rung durch Botnetze u. Ä., Erschwerung der Ermittlung 
und Strafverfolgung) ist insbesondere ein Aspekt hervor- 
zuheben: Aufgrund der hohen Vernetzung der Dienste 
und Infrastrukturen lassen sich mit verhältnismäßig gerin- 
gem Aufwand sehr schnell hohe Schäden und Wirkungen 
erzielen, zum Beispiel durch Angriffe auf die Verteiler- 
knoten der Backbone-Netze des Internets oder durch sehr 
schnelle Verbreitung von Schadsoftware. 

Beispielhaft sei hier auf den Fall verwiesen, dass die IT- 
Systeme eines Kraftwerkes (oder einer beliebigen ande- 
ren Anlage aus dem Bereich Kritischer Infrastrukturen) 
mit dem Internet verbunden sind. Dadurch ist es nicht er- 
forderlich, dass Saboteure zuerst beispielsweise über In- 
nentäter auf das Anlagengelände gelangen, um vor Ort in 
das IT-System einzudringen. Stattdessen können sich die 
Täter alle der genannten, allgemeingültigen Vorteile der 
fntemetkriminalität zunutze machen. 

4.3 Akteure/Konstellationen 

Wie aus der hier zugmnde gelegten Definition hervorgeht, 
lassen sich im Wesentlichen drei Kategorien von Sabota- 
geakten benennen: politisch motiviert, ideologisch moti- 
viert und wirtschaftlich motiviert. Zu bedenken ist aber, 
dass die hier zugrunde gelegte Definition auch ein Erheb- 
lichkeitskriterium enthält. Erfasst wird nicht jede Beein- 
trächtigung oder Zerstömng beliebiger, sondern erst für 
die Sicherheit der Bundesrepublik Deutschland und die 
Gesamtwirtschaft bedeutsamer wirtschaftlicher, staatli- 
cher oder gesellschaftlicher Rechtsgüter. Gemessen daran 
dürfen realistischerweise nur solche Akteure in Betracht 
gezogen werden, die potenziell auch über entsprechende 
Mittel verfügen, Angriffe dieser Ausmaße zu planen, die 
nötigen Mittel aufzubringen sowie die Durchfühmng zu 
bewerkstelligen. 

Auf Täterseite sind als potenzielle Verantwortliche von 
Sabotageakten daher zum einen Staaten zu nennen, zum 
anderen größere nicht-staatliche Grappiemngen (zum 
Beispiel Terror-Organisationen oder andere Aktivisten, 
die sich gegen bestimmte politisch inkriminierte Unter- 


Ausnutzung der Informations- und Kommunikationstechnik (luK) 
oder gegen diese begangen werden und bei denen Elemente der elek- 
tronischen Datenverarbeitung (EDV) wesentlich für die Tatausfuh- 
rung sind. Vgl. Bundeskriminalamt: Cybercrime Bundeslagebild 
2010. 2011, S. 5. Online abrufbar unter: http://www.bka.de/ 
nn_224082/SharedDocs/Downloads/DE/Publikationen/Jahresberich- 
te UndLagebilder/Cybercrime/cybercrime2010,templateId=raw,pro 
perty=publicationFile.pdf/cybercrime2010.pdf 
Siehe hierzu auch das Beispiel Stuxnet in Kapitel 2/4.4. 1. 
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nehmen oder Organisationen richten), aber auch große 
Wirtschaftsuntemehmen (Wirtschaftssabotage). 

Gesicherte Erkenntnisse über konkrete Hintergründe und 
Personenkonstellationen liegen allerdings in den seltens- 
ten Fällen vor, sodass in der Regel lediglich über Zusam- 
menhänge spekuliert werden kann (siehe auch Kapitel 
2/4.4. 1 sowie 4.4.2 zu den Beispielen des Stuxnet-Com- 
puterwurms und des Angriffs auf Estland). 

Zu bedenken ist schließlich noch, dass zu den Akteuren 
nicht nur die Drahtzieher der Sabotageakte zu zählen 
sind, sondern ebenso diejenigen Personen(-gruppen), die 
ergänzend tätig werden und den Drahtziehern beispiels- 
weise erst das für den Angriff erforderliche Equipment 
verschaffen. Dies können die Produzenten von Schadsoft- 
ware sein, aber auch Mittelspersonen, die lediglich als 
„Dealer“ der Schadsoftware auftreten. Insofern kommen 
all jene in Betracht, die den Drahtziehern der Angriffe 
Ressourcen bereitstellen oder für sie programmiertechni- 
sche Auftragsarbeit leisten. 

4.4 Bedrohungen, Angriffsmittel 
und Schutzmöglichkeiten 

Über die bereits in Kapitel 2/2 zur Kriminalität im Inter- 
net geschilderten Grundlagen hinaus sind hier besonders 
zwei bekannt gewordene Beispiele hervorzuheben: 

4.4.1 Angriff mit hochentwickelter Malware 
(zum Beispiel Stuxnet) 

Im Juni 2010 wurde der so genannte Stuxnet-Computer- 
wurm entdeckt,^'*^ dessen Angriffstechnik die komplexe 
Interaktion von Software und menschlichem Fehlverhal- 
ten beziehungsweise dessen Ausnutzung demonstriert. 
Seine Schadroutine war speziell für den Angriff auf ein 
IT-System der Firma Siemens zur Überwachung, Steue- 
rung und Automatisierung technischer Prozesse ausge- 
richtet (so genannte SCADA-Systeme), insbesondere 
wohF'*^ von im Iran befindlichen Industrieanlagen zur 
Urananreicherung. Die Steuerungssoftware für Indus- 
trieanlagen befand sich auf IT- Systemen mit dem Betriebs- 
system Microsoft Windows. Stuxnet nutzte mehrere zuvor 
nicht bekannte Sicherheitslücken, so genannte Zero-Day- 
Exploits’^', aus, um die Kontrolle über die Software und 
damit die Steuerungsanlagen zu erhalten. 

Auch wenn sich die Funktionsweise technisch nicht von 
anderen Computerwürmem unterscheidet,^^^ fällt die bis 


Siehe ausführlich dazu Gaycken, Sandro: Cyberwar: Das Internet als 
Kriegsschauplatz. 2011, S. 175 ff. 

Zweifelnd Gaycken, Sandro: Cyberwar: Das Internet als Kriegs- 
schauplatz. 2011, S. 18, siehe weiter ausführlich zu den Argumenten, 
warum Gaycken eine gezielte Entwicklung für die Beeinträchtigung 
des iranischen Atomprogramms für unwahrscheinlich erachtet und 
andere Beweggründe als wahrscheinlicher ansieht, S. 177 ff. 

750 Ygi Gaycken, Sandro: Cyberwar: Das Internet als Kriegsschauplatz. 
2011, S. 175. 

Siehe zum Begriff Zero-Day-Exploits auch Kapitel 2/2.2. 2.2. 

752 Ygi Gaycken, Sandro: Cyberwar: Das Internet als Kriegsschauplatz. 
2011, S. 18, 176. 

753 Ygl. ebd., S. 18. 


dahin nicht dagewesene hohe Qualität und Komplexität 
der Schadsoftware auf^^'* Die Entwicklungkosten des 
Stuxnet- Wurms sollen nur mit erheblichem Personal- und 
Sachaufwand möglich gewesen sein.’^s 

Jüngst wurde schließlich ein Bericht in der New York 
Times veröffentlicht, demzufolge die Entwicklung und 
der Einsatz von Stuxnet von der US-amerikanischen Re- 
gierung in Auftrag gegeben worden sein soll, ohne dass 
diese Information aber offiziell bestätigt wurde. 

4.4.2 DDoS-Angriff auf Estland 

Als Paradebeispiel für breitfiächige Sabotage über das In- 
ternet kann der in der Geschichte wohl bislang größte 
DDoS-Angriffi^’ im Jahr 2007 auf Estland angesehen wer- 
den. Dabei wurden über eine Million Computer in den 
mehrere Wochen andauernden Angriff eingebunden,^^^ die 
wiederum Bestandteil vieler verschiedener Botnetze ge- 
wesen sein mussten.^“ Hierdurch wurde nicht wie üblich 
eine einzelne Intemetseite mittels einer Flut von Zugriffen 
lahmgelegt, sondern vielmehr kam es zu Ausfällen zentra- 
ler Intemetdienste wie etwa diverser Bank- und Zahlungs- 
systeme, den meistgenutzten Websites und auch Regie- 
rungswebsites sowie des Intemetverzeichnisdienstes.’^' 
Der gesamte Finanz- und Kommunikationssektor war lan- 
desweit beeinträchtigt. Die estnische IT-Infrastruktur 
stellte dabei ein besonders attraktives Cyber-Angriffsziel 
dar, da das baltische Land eine der weltweit am stärksten 
vernetzten Nationen ist.^® 

Die Angriffe standen zeitlich in Zusammenhang mit der 
Demontierung eines sowjetischen Denkmals in Form ei- 
nes Rote-Armee-Bronzesoldaten in der Stadt Tallin.^^^ Die 
Rückverfolgung der Kommunikation einiger Botnetz- 
Client-Computer weist auf Botnetz-Kontroll-Rechner mit 
Standort im heutigen Russland hin. Darüber hinaus wird in 
Estland auf einen in Kyrillisch geschriebenen Computer- 


754 Ygl. ebd., S. 18, insbesondere zu den technischen Details siehe 
S. 176 f 

755 So ähnlich Gaycken, Sandro: Cyberwar: Das Internet als Kriegs- 
schauplatz. 2011, S. 18, 176 f.; Emst, Nico: Gezielte Zerstömng von 
Aggregaten, golem.de, 28. September 2010. Online abmibar unter: 
http://www.goIem.de/1009/78278-2.html; ähnlich die Einschätzung 
von Symantec, vgl. Symantec: Der Stuxnet- Wurm. Online abmfbar 
unter: http://www. Symantec. com/de/de/theme.jsp?themeid=stuxnet 
sowie von Kaspersky, vgl. Pakalski, Ingo: Stuxnet- Wurm. Iranische 
Atomanlage infiziert, golem.de, 27. September 2009. Online abmf- 
bar unter: http://www.golem.de/1009/78245.html, die nur Staaten da- 
zu in der Lage sehen. 

756 Siehe Sänger, David E.: Obama Order Sped Up Wave of Cyberat- 
tacks Against Iran. The New York Times, 1 . Juni 20 1 2. Online abmf- 
bar unter: http://www.nytimes.eom/2012/06/01/world/middleeast/ 
obama-ordered-wave-of-cyberattacks-against-iran.html?_r=l 

757 Zum Begriff des DDoS-Angriffs siehe Kapitel 2/2. 1.5.1. 

758 Siehe dazu ausführlich Clarke, Richard A./Knake, Robert: Cyberwar. 

2010, S. 11 ff; siehe weiter Gaycken, Sandro: Cyberwar: Das Inter- 
net als Kriegsschauplatz. 2011, S. 169 ff. 

759 Ygl. Gaycken, Sandro: Cyberwar: Das Internet als Kriegsschauplatz. 

2011, S. 170. 

760 Ygl. Clarke, Richard A./Knake, Robert: Cyberwar. 2010, S. 14 f 

761 Siehe hierzu auch Gercke, Marco in: Gercke, Marco/Bmnst, Phillip 
W.: Praxishandbuch Intemetstrafrecht. 2009, Rn. 3. 

762 Ygl. Clarke, Richard A./Knake, Robert: Cyberwar. 2010, S. 13 ff 

763 Ygl. ebd., S. 12 f 
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Code im Zusammenhang mit den Angriffen verwiesen. Die 
russische Regierung dementierte aber eine Beteiligung ex- 
plizit. Organisierte Kriminalitätsstrukturen sind zwar 
aufgrund des hohen Ressourcenbedarfs für einen Angriff 
dieser Größenordnung wahrscheinlich, der Ursprung und 
die mögliche Kombination der angreifenden Akteure ist 
aber nicht mit Sicherheit auszumachen und bleibt daher 
spekulativ. 

4.5 Vorhandene Regelungen und Maß- 
nahmen zum Schutz vor Sabotage 

Über die bereits in Kapitel 2/2 zur Kriminalität im Inter- 
net aufgeführten Grundlagen hinaus sind hier einige sabo- 
tage-spezifische Regelungen und Maßnahmen hervorzu- 
heben: 

4.5.1 Internationale Regelungen 
und Maßnahmen 

Wie schon in Kapitel 2/2 zur Kriminalität im Internet aus- 
geführt, bedingt die Globalität des Internets erhebliche 
Anstrengungen in der internationalen Zusammenarbeit. 
Auf die dortigen Ausführungen sei auch an dieser Stelle 
verwiesen. Darüber hinaus sind einige Aktivitäten auf 
EU-Ebene zu verzeichnen, die sich durch ihre Fokussie- 
rung auf Kritische Infrastrukturen letztlich auch mit dem 
Schutz vor Sabotageakten beschäftigen und bereits in Ka- 
pitel 2/lüber den Schutz Kritischer Infrastrukturen im In- 
ternet dargelegt wurden. 

4.5.2 Nationale Regelungen und Maßnahmen 

4.5.2. 1 Strafverfolgung 

4.5.2. 1.1 Einschlägige Normen 

Speziell für den Bereich der Sabofage sind vor allem die 
folgenden strafrechtlichen Bestimmungen zu nennen, wo- 
bei entsprechend der Arbeitsdefinition die Computersa- 
botage zur Intemetkriminalität gerechnet^®^ und daher 
hier nicht aufgeführt wird: 

- § 87 StGB (Agententätigkeit zu Sabotagezwecken)’'^*, 

- § 88 StGB (Verfassungsfeindliche Sabotage), 

- § 109e Absatz 1 StGB (Sabotagehandlungen an Ver- 
teidigungsmitteln) ^'5^, 


Vgl, Clarke, Richard A./Knake, Robert: Cyberwar. 2010, S. 15. 

765 Ygi Gaycken, Sandro: Cyberwar: Das Internet als Kriegsschauplatz. 
2011, S. 170. 

Siehe Kapitel 2/2.3. 1. 

Siehe dazu die Begründung in Kapitel 2/4.1. 

§ 87 Absatz 2 StGB lautet: „Sabotagehandlungen im Sinne des Ab- 
satz 1 sind 1. Handlungen, die den Tatbestand der §§ 109e, [...] 317 
[...] StGB verwirklichen, und 2. andere Handlungen, durch die der 
Betrieb eines für die Landesverteidigung, den Schutz der Zivilbevöl- 
kerung gegen Kriegsgefahren oder für die Gesamtwirtschaft wichti- 
gen Unternehmens dadurch verhindert oder gestört wird, dass eine 
dem Betrieb dienende Sache zerstört, beschädigt, beseitigt, verändert 
oder unbrauchbar gemacht oder dass die für den Betrieb bestimmte 
Energie entzogen wird“. 

769 § i09e Absatz 1 StGB lautet: „Wer ein Wehrmittel oder eine Einrich- 
tung oder Anlage, die ganz oder vorwiegend der Landesverteidigung 


- § 109f StGB (Sicherheitsgefährdender Nachrichten- 
dienst), 

- §317 StGB (Störung von Telekommunikationsanla- 
gen)'^'^*’ sowie 

- flankierende Bestimmungen (so genannte Vorfeldkri- 
minalisierung): 

- § 91 StGB (Anleitung zur Begehung einer schwe- 
ren staatsgefährdenden Gewalttat)^’', 

- § 202c StGB (Vorbereiten des Ausspähens und Ab- 
fangens von Daten )^^2 

4.5.2. 1.2 Steuerungswirkung des Strafrechts 

Strafrechtliche Normen entfalten zwar grundsätzlich eine 
Abschreckungswirkung (Generalprävention), doch kann 
dies allein insbesondere hinsichtlich Sabotage nicht genü- 
gen. Denn gerade hier werden Täter von vornherein ent- 
sprechende Sanktionen ins Kalkül ziehen, sodass Strafnor- 
men zwar einen notwendigen, aber keinen hinreichenden 
Schutz vermitteln können. Erforderlich sind vielmehr 
zahlreiche flankierende Maßnahmen, sowohl in anderen 
Rechtsgebieten (Öffentliches Sicherheitsrecht, Zivilrecht) 
als auch politisch, wie etwa die Stärkung der Medienkom- 
petenzen, um Sabotageakten präventiv entgegenzutreten. 

Erforderlich sind organisatorische, aber auch weitere 
Maßnahmen, um Fehlerquellen im komplexen System 
„Mensch-IT“ zu beherrschen. Hierzu gehören sowohl 
technische Maßnahmen (Produktsicherheit) als auch or- 
ganisatorische Kontrollen etc., um zu verhindern, dass 
Nutzerinnen und Nutzer Sicherheitsmaßnahmen einfach 
umgehen (zum Beispiel Vergabe zu einfacher Passwör- 
ter). Menschliches Fehlverhalten muss dabei möglichst 
beim Design und den rechtlichen Anforderungen von 
IT-Anlagen und Infrastrukturen in Betracht gezogen und 
durch technische Sicherheitsvorkehrung eingegrenzt wer- 
den, wie der Fall des (simulierten) Angriffs durch die 
Firma Netragard verdeutlicht. 


oder dem Schutz der Zivilbevölkerung gegen Kriegsgefahren dient, 
unbefugt zerstört, beschädigt, verändert, unbrauchbar macht oder be- 
seitigt und dadurch die Sicherheit der Bundesrepublik Deutschland, 
die Schlagkraft der Truppe oder Menschenleben gefährdet, wird mit 
Freiheitsstrafe von drei Monaten bis zu fünf Jahren bestraft“. 

770 §317 Absatz 1 StGB lautet: „Wer den Betrieb einer öffentlichen 
Zwecken dienenden Telekommunikationsanlage dadurch verhindert 
oder gefährdet, dass er eine dem Betrieb dienende Sache zerstört, be- 
schädigt, beseitigt, verändert oder unbrauchbar macht oder die für 
den Betrieb bestimmte elektrische Kraft entzieht, wird mit Freiheits- 
strafe bis zu fünf Jahren oder mit Geldstrafe bestraft“. 

Vgl. Gercke, Marco/Brunst, Phillip W.: Praxishandbuch Intemet- 
strafrecht. 2009, Rn. 27. 

772 Vgl. ebd.,Rn. 17. 

773 Ygi Dorscheid, Kathrin: Netzwerk-Sicherheit: Hier kommt der 
Maus-Trojaner. Spiegel Online, 6. Juli 2011. Online abrufbar unter: 
http://www.spiegel.de/netzwelt/web/netzwerk-sicherheit-hier-kommt 
-der-maus-trojaner-a-772462.html: Eine als Werbegeschenk getarnt 
infizierte USB-Maus hat einen Trojaner in das Untemehmensnetz- 
werk geschleust. Hier hätte etwa eine Ausdehnung der Sicherheitsscan- 
ner auf jegliche USB-Anschlüsse den Angriff womöglich verhindert. 
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4.5.2. 1 .3 Rechtsdurchsetzung 

Wie schon allgemein für den Bereich der Kriminalität im 
Internet in Kapitel 2/2ausgefuhrt, gilt auch für die Sabota- 
gebekämpfung, dass nicht nur materielle Regelungen, 
sondern auch deren Durchsetzung (englisch: Enforce- 
ment) maßgeblich für die Bekämpfung von Sabotage ist. 

Ähnlich wie in Bezug auf Spionageakte^^"* ist auch hier 
anzumerken, dass sich nicht ausschließen lässt, dass es 
sich bei den Akteuren auf Täterseite um solche aus dem 
globalen politischen Bereich handelt. Dies verdeutlichen 
auch die oben genannten Spekulationen über Spionage- 
akte staatlicher Herkunft. Durch die Überlagerung der 
rein justiziellen Strafverfolgung durch politisch-diploma- 
tische Erwägungen könnten etwaigen Strafverfolgungs- 
maßnahmen daher von vornherein gewisse Grenzen ge- 
setzt sein. 

4.5.2.2 Infrastrukturbezogene Regelungen 

Hinsichtlich solcher Maßnahmen, die den Schutz durch 
die genannten strafrechtlichen Normen flankieren, be- 
steht weitgehend Kongruenz zu den weiteren Bereichen 
der Kriminalität im Internet. Insofern ist auf die betref- 
fenden Abschnitte zu verweisen. Speziell in Bezug auf 
Sabotage sind jedoch insbesondere auf das Post- und Te- 
lekommunikationssicherstellungsgesetz (PTSG)’^’ hinzu- 
weisen, welches eine den §§ 108 ff. TKG^’* vergleichbare 
Stoßrichtung aufweist. 

Anwendungsbereich des Post- und Telekommunikations- 
sicherstellungsgesetz ist die Sicherstellung einer Mindest- 
versorgung mit Postdienstleistungen oder Telekommuni- 
kationsdiensten im Falle von erheblichen Störungen wie 
Naturkatastrophen, schweren Unglücksfällen oder Sabota- 
gehandlungen (§ 1 Absatz 2 PTSG). Die Anwendungsbe- 
reiche von Post- und Telekommunikationssicherstellungs- 
gesetz und Telekommunikationsgesetz überschneiden sich 
dahingehend, dass sie beide im Falle von (erheblichen) 
Störungen der Telekommunikationsnetze, -anlagen und 
-dienstleistungen Schutzvorkehrungen versehen:’^® Wäh- 
rend § 109 Absatz 2 TKG eine Verpflichtung der Anbieter 
zur generellen Vorsorge gegen Störungen, Angriffe und 
Katastrophen ausspricht, erlegen §§ 2 und 5 PTSG den 
Post- beziehungsweise Telekommunikationsuntemehmen 
die Pflicht auf, im Falle des Eintritts der in § 1 Absatz 2 
PTSG genannten Szenarien bestimmte Dienstleistungen 
aufrechtzuerhalten. Dies verlangt zwangsläufig das Tref- 
fen von Vorsorgemaßnahmen, die mit solchen gemäß 
§109 Absatz 2 TKG identisch sein können. Hinsichtlich 


™ Siehe oben Kapitel 2/3. 5. 2. 2. 

Siehe hierzu auch Kapitel 2/3. 5.2. 3. 

Siehe dazu die Kapitel 2/2. 3. 3. 2., 2. 3. 3. 3, 2. 3. 3. 4 sowie 2. 3. 3. 5. 
Gesetz zur Sicherstellung von Postdienstleistungen und Telekommu- 
nikationsdiensten in besonderen Fällen vom 24. März 201 1 (BGBl. I 
S. 506, 941). 

Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I S. 1190), zu- 
letzt geändert durch Artikel 1 des Gesetzes vom 3. Mai 2012 (BGBl. 
I S. 958). 

779 Ygi Bock, Michael in: Geppert, Martin/Piepenbrock, Hermann- 
Josef/Schütz, Raimund/Schuster, Fabian (Hrsg.): Beck’scher TKG- 
Kommentar. 3. Auflage 2006, § 109 Rn. 12, 16. 


des Anwendungsbereichs von § 109 TKG besteht im Ver- 
hältnis mit dem Post- und Telekommunikationssicherstel- 
lungsgesetz Streit. Das Post- und Telekommunikations- 
sicherstellungsgesetz ist gegenüber § 109 Absatz 2 TKG 
eine vorrangige Regelung (lex specialis). 

4.5.2. 3 Initiativen 

Der Bereich der IT-bezogenen Sabotage überschneidet 
sich in wesentlichen Teilen mit dem des Schutzes Kriti- 
scher Infrastrukturen. Dies hat den Hintergrund, dass sich 
nach der hier zugrunde gelegten Definition von Sabotage 
Angriffe gegen für die Sicherheit der Bundesrepublik 
Deutschland und die Gesamtwirtschaft bedeutsame wirt- 
schaftliche, staatliche oder gesellschaftliche Rechtsgüter 
zu richten haben und die Beeinträchtigung dieser Güter 
auch mittelbar als Folge von oder Teil einer Kettenreak- 
tion nach unmittelbar IT-bezogenen Angriffen eintreten 
kann. Für die Initiativen in diesem Bereich wird deshalb 
auf Kapitel 2/1 zum Schutz Kritischer IT-lnfrastrukturen 
verwiesen. 

4.6 Defizitanalyse 

Die Defizite betreffen sowohl die IT-Sicherheit im Allge- 
meinen als auch die für Sabotage hervorzuhebenden fol- 
genden Besonderheiten: 

Mit den technischen Gegebenheiten entwickeln sich 
zwangsläufig parallel auch die Angriffsmöglichkeiten auf 
IT- Systeme weiter, und dies in einem höheren Tempo als 
der Gesetzgeber neue Gesetze entwickeln oder beste- 
hende anpassen kann. Die insofern drohenden Gefahren 
sind kein Alleinstellungsmerkmal des Bereichs der Sabo- 
tage, sondern betreffen die gesamte IT-bezogene Krimi- 
nalität. Jedoch ist zu beachten, dass davon insbesondere 
groß angelegte Schutzmechanismen betroffen sind, wie 
sie beispielsweise die §§108 ff. TKG und das Post- und 
Telekommunikationssicherstellungsgesetz beschreiben. 

4.7 Risikoeinschätzung 

Für die Einschätzung der Risiken ist das Wissen über die 
relevanten Faktoren maßgeblich, die Sabotage begünsti- 
gen oder ihr auch entgegenstehen, und schließlich der 
Grad und das potenzielle Ausmaß von Schäden. Eine Ri- 
sikoanalyse ist hier nicht anders als bei anderen Techno- 


780 Ygi Bundesverband Informationswirtschaft, Telekommunikation 
und neue Medien e.V. (BITKOM): Stellungnahme des BITKOM zur 
Anhörung des Bundestags-Ausschusses für Wirtschaft und Arbeit zur 
Novelle des Telekommunikationsgesetzes (TKG) (Bundestagsdruck- 
sache 15/2316). 3. Februar 2004. Online abrufbar unter: http://www. 
bitkom.org/files/documents/StN_BITKOM_TKG_Wirtschaftsausschuss 
_03.02.04.pdf ; Bock, Michael in: Geppert, Martin/Piepenbrock, 
Hermann-Josef/Schütz, Raimund/Schuster, Fabian (Hrsg.): 
Beck’scher TKG-Kommentar. 3. Auflage 2006, § 109 Rn. 16. 

Vgl. Scheurle, Klaus-Dieter/Mayen, Thomas (Hrsg.): Telekommuni- 
kationsgesetz. Kommentar. 2. Auflage 2008, Rn. 2; Bock, Michael 
in: Geppert, Martin/Piepenbrock, Hermann-Josef/Schütz, Raimund/ 
Schuster, Fabian (Hrsg.): Beck’scher TKG-Kommentar. 3. Auflage 
2006, § 109 Rn. 12; Spindler, Gerald: IT-Sicherheit und kritische In- 
frastrukturen - Öffentlich-rechtliche und zivilrechtliche Regulie- 
rungsmodelle. 2010, S. 92. 



Deutscher Bundestag - 17. Wahlperiode 


-91- 


Drucksache 17/12541 


logien anhand folgender Kriterien durchzuführen (zum 
Beispiel im Industrieanlagenrecht): 

- Bedrohte Akteure (Staat, Wirtschaft, Gesellschaft), 

- bedrohte Rechtsgüter, 

- Wahrscheinlichkeit und Ausmaß des Schadens sowie 
eine 

- Kosten-Nutzen-Abwägung. 

Auszugehen ist bei der Einschätzung von der oben ge- 
nannten Definition des Sabotagebegriffs. Das darin ent- 
haltene Erheblichkeitskriterium engt auf der einen Seite 
den Kreis der relevanten schädlichen Handlungen ein, da 
nur Angriffe auf für die Bundesrepublik Deutschland und 
die Gesamtwirtschaft bedeutsame wirtschaftliche, staatli- 
che oder gesellschaftliche Rechtsgüter erfasst werden. 
Auf der anderen Seite bedeutet dies aber auch, dass das 
Augenmerk nicht allein auf die unmittelbaren Angriffs- 
ziele und -folgen gerichtet werden darf, sondern gerade 
auch mittelbare Folgen in Betracht gezogen werden müs- 
sen. Dies gilt vor allem für die Fälle, in denen sich An- 
griffe gegen (Kritische) Infrastrukturen wenden, da diese 
qua definitionem kettenreaktionsartige Folgen haben. 

Auf Seiten der unmittelbar bedrohten Rechtsgüter lässt 
sich zunächst die Integrität der Sachsubstanz möglicher 
Sabotageziele (IT-Systeme als solche, aber auch von die- 
sen abhängige technische Anlagen wie zum Beispiel 
Kraftwerke, Produktionsanlagen und Verkehrsinfrastruk- 
tur) ausmachen, ebenso wie die körperliche Unversehrt- 
heit und das Leben potenzieller menschlicher Opfer. Auf 
Seiten der potenziell mittelbar betroffenen Rechtsgüter 
sind in jedem Fall auch wieder die körperliche Unver- 
sehrtheit und das Leben menschlicher Opfer zu nennen, 
aber nicht zuletzt - aufgrund der gesamtwirtschaftlichen 
Bedeutsamkeit der Angriffsziele - umfangreiche wirt- 
schaftliche Rechtsgüter. Eine genauere Identifizierung 
ließe sich am besten anhand konkreter Sabotage- Szena- 
rien vornehmen, die die Dimensionen der Folgen näher 
beleuchten. Das Ausmaß der Risiken hängt auch von 
möglichen Gegenmaßnahmen und deren Effektivität ab. 
Zudem ist das Ergebnis einer Risikoeinschätzung in be- 
sonderem Maße von dem der Defizitanalyse abhängig 
und insofern nicht isoliert beurteilbar. Auch für diesen 
Bereich ergeben sich daher Forschungsdefizite. Die Er- 
kenntnisgewinnung könnte sich dabei u. a. an bestimmten 
Sabotage-Szenarien orientieren, welche dann zugleich ei- 
ner Wahrscheinlichkeitseinschätzung unterzogen werden 

könnten. ^*2 

Soweit bereits Erkenntnisse vorliegen, kann festgestellt 
werden, dass die Gefahr durch Terrorismus vermutlich 
gering ist. „Während es technisch möglich ist, Schäden 
mit Terrorwirkung zu verursachen, sind solche Angriffe 
stark voraussetzungsreich“. Die konspirative Organisa- 


In diese Richtung bereits Fischer, Wolfgang: www.infrastrukturlnter- 
net-Cyberterror.Netzwerk - Analyse und Simulation strategischer 
Angriffe auf die kritische Infrastruktur Internet. 2007. 

Gaycken, Sandro: Schriftliche Stellungnahme, vorgelegt im Rahmen 
des Expertengespräches „Sicherheit im Netz“ der Projektgruppe Zu- 


tion erschwert das Ansammeln der notwendigen Ressour- 
cen.’^'* Für die nahe oder mittlere Zukunft sieht das BSI 
keine Entwicklungen zu cyberterroristischen Gefahren im 
engeren Sinne. Allerdings wird teilweise spekuliert, ob 
erfolgte Angriffe aus Sicherheitsgründen geheim gehalten 
wurden.’*® Es bleibt ebenso zu bedenken, dass terroristi- 
sche Vereinigungen die notwendige Rechenkraft und 
Programmierleistung einkaufen könnten, ohne dass der 
Beauftragte das Ziel des Auftraggebers kennt.’*’ Be- 
schlagnahmte Al-Qaida-Rechner zeigen zudem, dass sich 
Terroristen zunehmend mit Internet-Technik auseinander- 
setzen.’** 

Sabotage, insbesondere Wirtschaftssabotage, könnte sich 
zu einem Geschäftsfeld der organisierten Kriminalität 
entwickeln. So könnten durch gezielte Sabotageakte Bör- 
senkurse manipuliert und so Gewinne erzielt werden.’*^ 
Für militärisch-nachrichtendienstliche Angreifer bietet 
die gezielte Wirtschaftsmanipulation die Möglichkeit, ei- 
nem fremden Land erheblichen Schaden zuzufügen, ohne 
dass eine militärische Auseinandersetzung notwendig ist. 

Kapitel 3 

Handlungsempfehlungen 

1 Handlungsempfehlungen zu Kapitel 1 
Zugang zum Internet und Infrastruktur 
des Internets: Breitband^^” 

Um das gesellschaftliche und ökonomische Potenzial der 
Digitalisierung voll nutzen zu können, bedarf es einer 


gang, Struktur und Sicherheit im Netz der Enquete-Kommission In- 
ternet und Digitale Gesellschaft des Deutschen Bundestages vom 
28. November 2011, S. 1. Online abrufbar unter: http://www.bundes 
tag.de/intemetenquete/dokumentation/Zugang_Struktur_und_Sicher 
heit_im_Netz/PGZustrSi_20 11-11 -28_oeffentliches_Expertengespra 
ech/PGZuStSi20 11-11 -28_Expertengespraech_Stellungnahme_Dr 
Gaycken.pdf 

™Vgl. ebd. 

785 Ygi Könen, Andreas: Schriftliche Stellungnahme, vorgelegt im Rah- 
men des Expertengespräches „Sicherheit im Netz“ der Projektgmppe 
Zugang, Struktur und Sicherheit im Netz der Enquete-Kommission 
Internet und Digitale Gesellschaft des Deutschen Bundestages vom 
28. November 2011, Frage 2 a. E. Online abmfbar unter: http:// 
www.bundestag.de/intemetenquete/dokumentation/Zugang_Stmktur 
_und_Sicherheit_im_Netz/PGZustrSi_201 1-1 l-28_oeffentliches_Ex 
pertengespraech/PGZuStSi_20 11-11 -28_Expertengespraech_Stellung 
nahme_Koenen.pdf 

786 Vgl. Bmnst, Phillip W.: Terrorism and the Internet: New Threats 
Posed by Cyberterrorism and Terrorist Use of the Internet. 2010, 
S. 52 f. 

787 Vgl. ebd., S. 70. 

788 Vgl. ebd. 

789 Vgl. Gaycken, Sandro: Schriftliche Stellungnahme, vorgelegt im 
Rahmen des Expertengespräches „Sicherheit im Netz“ der Projekt- 
gmppe Zugang, Struktur und Sicherheit im Netz der Enquete-Kom- 
mission Internet und Digitale Gesellschaft des Deutschen Bundesta- 
ges vom 28. November 2011, S. 2. Online abmfbar unter: http:// 
www.bundestag.de/intemetenquete/dokumentation/Zugang_Struktur 
_und_Sicherheit_im_Netz/PGZustrSi_201 1-1 l-28_oeffentliches_Ex 
pertengespraech/PGZuStSi_20 11-11 -28_Expertengespraech_Stellung 
nahme_DrGaycken.pdf 

79*^ Zu den Handlungsempfehlungen zu Kapitel 1 Zugang zum Internet 
und Infrastmktur des Internets: Breitband wurde ein ergänzendes 
Sondervotum von den Fraktionen der SPD und BÜNDNIS 90/DIE 
GRÜNEN sowie den Sachverständigen Alvar Freude, Constanze 
Kurz, 
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hochleistungsfähigen Breitbandinfrastruktur. Die Enquete- 
Kommission weist darauf hin, dass der Ausbau beschleu- 
nigt werden muss. Eine gut ausgebaute digitale Infra- 
struktur ist unverzichtbar für eine moderne demokratische 
Gesellschaft und eine international wettbewerbsfähige 
Wirtschaft. Ein flächendeckender Breitbandausbau schafft 
die Voraussetzungen für die Teilhabe aller Bevölkerungs- 
gruppen und Regionen am Fortschritt sowie an den 
Möglichkeiten der digitalen Gesellschaft. Die Zu- 
kunftsfähigkeit vieler Kommunen hängt maßgeblich von 
Standortfaktoren wie der Breitbandanbindung ab. 

Mit der Vergabe nicht mehr für den Rundfunk benötigter 
Frequenzen („Digitale Dividende“) konnte die Versor- 
gung des ländlichen Raums mit mobilem Breitband ver- 
bessert werden. Dies gelang, da die Nutzung der Frequen- 
zen an die Auflage gebunden ist, zunächst in den 
unzureichend mit Breitband versorgten „weißen Flecken“ 
den neuen Mobilfunkstandard der vierten Generation, 
LTE, auf- und auszubauen. So steht heute bereits für über 
99 Prozent aller deutschen Haushalte ein Breitbandan- 
schluss von mindestens 1 Mbit/s zur Verfügung. Für über 
48 Prozent ist sogar ein ultrabreitbandiger Anschluss von 
50 Mbit/s gegeben.™' 

Neben dieser bisherigen Erfolge muss der Breitbandaus- 
bau weiter vorangetrieben werden. Die Attraktivität länd- 
licher Gewerbe- und Wohngebiete leidet unter mangeln- 
der Anbindung an das Internet. 

Das Ziel muss ein schnelles Internet für alle sein, auch in 
ländlichen Räumen. Eine digifale Spaltung muss vermie- 
den beziehungsweise überwunden werden. Hierbei ist je- 
doch auch die Inaspruchnahme der zur Verfügung sfehen- 
den schnellen breitbandigen Anschlüsse (so genannte 
Take-up-Rate) durch die Kundinnen und Kunden entschei- 
dend. Bisher kann noch keine wesentliche Steigerung bei 
der Nachfrage nach ultrabreitbandigen Anschlüssen ver- 
zeichnet werden. 

Breitbandanwendungen ermöglichen zusätzliche wirt- 
schaftliche Wachstumsimpulse. Schnelles Internet ist die 
Vorbedingung für Effizienzsteigerungen, Innovationen 
und neue Geschäftsmodelle mit erheblichem wirtschaftli- 


Annette Mühlberg, Prof. Dr. Wolfgang Schulz, Lothar Schröder und 
Cornelia Tausch abgegeben. Die Fraktion DIE LINKE, hat ein erset- 
zendes Sondervotum abgegeben (siehe Kapitel 5 Sondervoten). 

Vgl. Bundesministerium für Wirtschaft und Technologie: Rösler: 
Ausbau des hochleistungsfähigen Internet geht zügig voran. Presse- 
mitteilung vom 6. März 2012. Online abrufbar unter: http://www.bmwi. 
de/DE/Presse/pressemitteilungen,did=4795 12.html; Bundesministe- 
rium für Wirtschaft und Technologie: Aktuelle Breitbandverfügbar- 
keit in Deutschland (Stand Ende 2011). Erhebung des TÜV Rhein- 
land im Auftrag des BMWi. Stand der Erhebung: Ende 2011. Online 
abrufbar unter: http://www.bmwi. de/BMWi/Redaktion/PDF/A/aktuel 
le-breitbandverfuegbarkeit-in-deutschland,property=pdf,bereich=bmwi 
20 12,sprache=de,rwb=true.pdf 

Ergänzendes Sondervotum der Fraktionen der SPD und BÜND- 
NIS 90/DIE GRÜNEN sowie des Sachverständigen Alvar Freude: 
„In Deutschland sind noch immer viele Haushalte unterversorgt. 
Deutschland nimmt im europäischen Vergleich einen der mittleren 
Plätze bei der Breitbandversorgung ein. Auch beim Glasfaserausbau 
existiert in Deutschland ein gravierender Rückstand gegenüber ande- 
ren Industrienationen.“ 


ehern Potenzial, insbesondere auch im Bereich des Mit- 
telstands. 

Die Arbeitswelt von heute und morgen ist immer mehr 
von der Digitalisierung geprägt. Der Zugang zum Internet 
und damit zu Wissen und Informationen entscheidet zu- 
nehmend über den wirtschaftlichen Erfolg von Unterneh- 
men und die berufliche Perspektiven der Beschäftigten. 

Die Verdichtung und Beschleunigung von Informationen 
durch das Internet, sei es in sozialen Netzwerken, Media- 
theken oder anderen digitalen Informationsangeboten, ist 
von großer sozialer, kultureller und wirtschaftlicher Be- 
deutung. Eine flächendeckende hochwertige Breitbandin- 
ffastruktur ist deshalb aus Sicht der Enquete-Kommission 
integraler Bestandteil einer zeitgemäßen Netzpolitik. 

Das Internet mit seinen neuen Informations- und Kom- 
munikationsmöglichkeiten eröffnet große Chancen für 
demokratische Meinungsbildungs- und Beteiligungspro- 
zesse. 

Zur Erreichung dieser Ziele empfiehlt die Enquete-Kom- 
mission dem Deutschen Bundestag, 

- eine klare Wettbewerbsorientierung und innovations- 
und investitionsfreundliche Regulierung zu verfolgen, 

- möglichst unbürokratische und kostenreduzierende 
Regulierungsansätze zu finden, die auf netzgebundene 
Märkte abgestimmt sind. 

Open Access-Marktmodelle 

Darüber hinaus regt die Enquete-Kommission an. Open 
Access-Marktmodelle rechtlich zu klären und praktisch 
umzusetzen, um innovative Geschäftsmodelle und effi- 
ziente technische Lösungen für den NGA-Ausbau zu un- 
terstützen, bei der die Investitionsrisiken und -kosten 
möglichst breit über die Marktteilnehmer verteilt werden. 

Weiterentwicklung staatlicher Förderprogramme 
zur Verbesserung der Breitbandversorgung 

Die Enquete-Kommission empfiehlt mit Blick auf Wirt- 
schaftlichkeitslücken im Breitbandausbau, unter Berück- 
sichtigung der Mitnutzung von bestehenden Infrastruktu- 
ren staatliche Förderprogramme weiterzuentwickeln und 
aufeinander abzustimmen. Diese sollen im Einzelnen 

- zusätzliche Impulse für den Breitbandausbau im länd- 
lichen Raum geben, 

- eine möglichst große Hebelwirkung für private Inves- 
titionen entfalten, 

- konsequenter als bisher auf die Ziele Qualitätsent- 
wicklung und Hochgeschwindigkeitsnetze orientiert 
werden, 

- mit Hilfe von Zinsverbilligungen bei langjähriger 
Laufzeit zusätzliche Breitbandinvestitionen von Kom- 
munen und Unternehmen stimulieren. 

Der Breitbandausbau in Deutschland ist kontinuierlich zu 
beobachten und bereits durchgeführte Maßnahmen sind 
regelmäßig auf ihre Wirksamkeit hin zu evaluieren. 
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Investitions- und wettbewerbsfreundliche 
Regulierung als Voraussetzung eines 
marktgetriebenen Breitbandausbaus 

Der marktgetriebene Breitbandausbau setzt Investitionssi- 
cherheit und wirtschaftliche Attraktivität für die Netzbe- 
treiber voraus. Dies muss durch die Regulierung ebenso 
sichergestellt werden wie effektiver Wettbewerb, der so- 
wohl den Ausbau befördert, als auch für attraktive End- 
kundenprodukte sorgt. Dies gilt umso mehr, als verschie- 
dene Marktstudien eine bislang nur gering ausgeprägte 
Bereitschaft der Kunden belegen, für leistungsfähige An- 
schlüsse auch mehr zu bezahlen. In einem solchem Markt- 
umfeld müssen Ausbau- und damit Investitionsentschei- 
dungen besonders sorgfältig auf ihre Wirtschaftlichkeit 
geprüft werden. Entscheidende Stellschraube für die Sfei- 
gerung der Kundennachfrage sind aber insbesondere die 
über die Nefze realisierten Dienste und Anwendungen. Ein 
Vorangehen der öffentlichen Hand in diesem Bereich, 
etwa durch einen verstärkten Einsatz von E-Govemment- 

^^3, E-Leaming-794 oder E-Health-Angeboten^^^^ kann da- 
her zu einer steigenden Nachfrage nach Breitbanddiensfen 
und damit von Hochgeschwindigkeitsanschlüssen führen. 

Vorrang von Marktlösnngen beim Breitbandansban™* 

Mit Blick auf den flächendeckenden Ausbau können 
Marktlösungen bei Kooperationen und freiwillige Ange- 
bote Vorrang vor staatlichen Regulierungseingriffen ha- 
ben. Sie sind zu unterstützen, solange sie letztendlich zu 
einer Öffnung für alle Marktteilnehmer führen. Wenn 
jedoch bestehende oder entstandene Monopole von ein- 
zelnen Unternehmen verteidigt werden, bedarf es einer 
regulierten Öffnung des Marktes durch die staatlichen 
Aufsichtsbehörden. 

Hinsichtlich des Konzeptes eines Open Access, das auf 
den Prinzipien der Freiwilligkeit und Diskriminierungs- 
freiheit basiert, muss zwischen allen betroffenen Akteu- 
ren zunächst ein gemeinsames Grundverständnis herge- 
stellt werden. Kern dieses Grundverständnisses sollte 
sein, dass Open Access letztlich zu weniger und nicht zu 
mehr Regulierung führen soll. Es entspricht beispiels- 
weise nicht einer symmetrischen Regulierung. Gelingt 
hierüber eine wettbewerbliche Marktöffnung, besteht 
auch kein weiterer Bedarf für Regulierungseingriffe. 

Breitbandausbau im Tecbnologiemix 

Eine zeitnahe flächendeckende Versorgung mit leistungs- 
fähigen Breitbandanschlüssen gelingt nur durch die Nut- 
zung aller geeigneten Technologien wie Glasfaser, Kabel, 
Funk oder Satellit. Diese Mischung stärkt auch den aus 


E-Goveniment wird laut Duden bezeichnet als die „Durchführung 
von Prozessen, die zwischen staatlichen Institutionen oder zwischen 
staatlicher Institution und Bürger ablaufen, mithilfe der Informa- 
tionstechnologie“. 

E-Leaming wird laut Duden bezeichnet als „computergestütztes Ler- 
nen, bei dem Schüler und Lehrer räumlich getrennt voneinander sind 
und vor allem über das Internet in Kontakt stehen“. 

E-Health wird laut Duden bezeichnet als „Einsatz von Computern 
und Internet im Gesundheitswesen“. 

796 Die Fraktion BÜNDNIS 90/DIE GRÜNEN hat gegen diese Hand- 
lungsempfehlung gestimmt. 


Gründen der Wahlfreiheit und Vielfaltsicherung anzustre- 
benden Infrastrukturwettbewerb. Eine politische Priori- 
sierung einer bestimmten Technologie würde den weite- 
ren Breitbandausbau in dieser Vielfältigkeit gefährden. 

2 Handlungsempfehlungen zu Kapitel 1 
Zugang zum Internet und Infrastruktur 
des Internets: Empfehlungen hinsichtlich 
der Einführung des Internetprotokolls in 

der Version 6 (IPv6p7 
Sensibilisierung der Endnutzer 

Die Enquete-Kommission empfiehlt der Bundesregierung 
und der deutschen Wirtschaft, bei der Einführung des 
neuen Standards IPv6, die Bürgerinnen und Bürger aus- 
führlich über die technischen Folgen und Neuerungen des 
Standards zu informieren. Ihnen sollte die Wahl gelassen 
werden, ob sie anhand ihrer IP-Adresse von Diensteanbie- 
tem (beispielsweise Betreibern beliebiger Webseiten) bei 
erneuter Nutzung eines Angebotes wiedererkannt werden 
können (statische IP-Adresse) oder ob dies aufgrund einer 
beispielsweise täglich wechselnden IP-Adresse nicht 
möglich sein soll. Die Entscheidung darüber, welche tech- 
nische Variante letztlich zur Anwendung kommen sollte, 
sollte immer beim Endnutzer liegen. 

Stiftung Datenschutz’** 

Die Enquete-Kommission begrüßt die von der Bundesre- 
gierung gegründete Stiftung Datenschutz. Sie kann durch 
die Aufklärung der Bürgerinnen und Bürger aber auch der 
Unternehmen und durch die Entwicklung eines Daten- 
schutzaudits und eines Datenschutzauditverfahrens zur 
Prüfung von Produkten und Dienstleistungen auf ihre Da- 
tenschutzfreundlichkeit (zum Beispiel im Rahmen der 
Einführung von IPv6) einen wesentlichen Beitrag zu 
mehr Datenschutz und auch zu mehr Datensicherheit in 
Deutschland leisten. 

3 Handlungsempfehlungen zu Kapitel 2 
Sicherheit im Internet: Schutz Kritischer 
Infrastrukturen im Internet®““ 

Nur Staat, Wirtschaft und Gesellschaft gemeinsam kön- 
nen einen ausreichenden Schutz der Kritischen Infra- 


797 Zu den Handlungsempfehlungen zu Kapitel 1 Zugang zum Internet 
und Infrastruktur des Internets: Empfehlungen hinsichtlich der Ein- 
führung des Intemetprotokolls in der Version 6 (IPv6) wurden ergän- 
zende Sondervoten von den Fraktionen der SPD, DIE LINKE, und 
BÜNDNIS 90/DIE GRÜNEN sowie den Sachverständigen Alvar 
Freude, Constanze Kurz, Annette Mühlberg, Prof. Dr. Wolfgang 
Schulz, Lothar Schröder und Cornelia Tausch abgegeben (siehe Ka- 
pitel 5 Sondervoten). 

798 Siehe hierzu auch die gemeinsamen Leitlinien „IPv6 und Daten- 
schutz “ des Bundesbeauftragten für den Datenschutz und die Infor- 
mationsfreiheit, Peter Schaar, und des Deutschen IPv6 Rates. 
16. März 2012. Online abrufbar unter: http://www.ipv6council.de/ 
documents/leitlinien_ipv6_und_datenschutz/ 

799 Die Fraktionen der SPD, DIE LINKE, und BÜNDNIS 90/DIE GRÜ- 
NEN sowie der Sachverständige Alvar Freude haben gegen diese 
Handlungsempfehlung gestimmt. 

^90 Zu den Handlungsempfehlungen zu Kapitel 2/1 Schutz Kritischer In- 
frastrukturen im Internet wurde ein ergänzendes Sondervotum von 
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Strukturen gewährleisten. Ein ausdrücklicher Verfas- 
sungsauftrag für die Sicherung kritischer Infrastrukturen 
fehlt im Grundgesetz. Ein Sicherungsauftrag folgt jedoch 
aus der staatlichen Pflicht, sich schützend vor die Grund- 
rechte zu stellen und diese auch vor Angriffen Privater 
- etwa Terroristen - und sonstigen Gefahren zu schüt- 
zen.**" Darüber hinaus ist der Staat grundgesetzlich zur 
Aufrechterhaltung der öffentlichen Sicherheit und Ord- 
nung verpflichtet. 

Die meisten Kritischen Infrastrukturen sind in privater 
Hand. Daraus folgt eine besonders wichtige Rolle für die 
Privatwirtschaft. Es ist eine gesellschaftliche Aufgabe, 
die Bürgerinnen und Bürger für die Tatsache zu sensibili- 
sieren, dass sie privat und beruflich (wiederum als Teil 
von Wirtschaft und Behörden) zentrale Mitgestalter der 
IT-Sicherheit sind. 

Das Sicherheitsniveau der Kritischen Infrastrukturen 
kann entweder allgemein betrachtet werden, im Hinblick 
auf die sicherheitspolitische Lage (siehe Kapitel 2/1.2) 
oder für jeden spezifischen Sektor, dann hinsichtlich der 
Art der Infrastruktur und ihrer Kritikalität. Eine detail- 
lierte Analyse jedes Sektors ist im Rahmen der Arbeit der 
Projektgruppe nicht möglich, deshalb werden an dieser 
Stelle allgemeine Schutzmaßnahmen vorgeschlagen. Die 
Gesamtlage zu betrachten, ist bei kritischen Infrastruktu- 
ren besonders wichtig, da es oft nicht um einzelne Anla- 
gen, sondern um das Zusammenspiel verschiedener Bran- 
chen geht. 

Auf nationaler, europäischer und internationaler Ebene 
existieren bereits eine Vielzahl von unterschiedlichen 
Maßnahmen. Die Maßnahmen lassen sich dabei in ver- 
schiedene Handlungsfelder wie beispielsweise zur Prä- 
vention und Abwehrbereitschaft, zum Erkennen und zur 
Reaktion, zur Folgeminderung und Wiederherstellung so- 
wie zur Nachhaltigkeit unterteilen. Eine weitere Unter- 
scheidung der Maßnahmen kann nach ihrer Art und 
Weise vorgenommen werden (zum Beispiel personell, 
technisch, organisatorisch, gesetzgeberisch und wissen- 
schaftlich). 

1. Empfehlungen an die Gesellschaft 

Stärkere Konzentration auf Prävention bedeutet an erster 
Stelle, die Kompetenz („Faktor Mensch“) in Gesellschaft, 
Wirtschaft und Staat zu verbessern. Die Enquete-Kom- 
mission empfiehlt Bund und Ländern, gegebenenfalls ge- 
meinsam mit der Wirtschaft, mehr und besser ausgestat- 


den Fraktionen der SPD, DIE LINKE, und BÜNDNIS 90/DIE GRÜ- 
NEN sowie den Sachverständigen Alvar Freude, Constanze Kurz, 
Annette Mühlberg, Prof. Dr. Wolfgang Schulz, Lothar Schröder und 
Cornelia Tausch abgegeben (siehe Kapitel 5 Sondervoten). 

Vgl. Bundesamt für Sicherheit in der Informationstechnik: Gutachten 
zur rechtlichen Analyse des Regelungsumfangs zur IT-Sicherheit in 
kritischen Infrastrukturen, vorgelegt vom Konsortium Prof. 
Dr. Bernd Holznagel, LL. M. & Prof. Dr. Christian Koenig, LL. M. 
unter Mitarbeit von Alexander Koch und Christian Schulz. 15. No- 
vember 2002. In Teilen überarbeitet 5. Mai 2005. Online abrufbar 
unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kri 

tis/Regelungsumfang_ITSich_KRITIS_pdf.pdf? blob=publication 

File 


tete interdisziplinäre Lehrstühle für IT-Sicherheit an 
deutschen Universitäten zu schaffen. 

IT-Sicherheit soll bei Schaffung und Ausgestaltung neuer 
und bestehender Berufsbilder in entsprechenden Berufs- 
feldem stärker beachtet werden. IT-Sicherheit muss aus 
den Fachgremien heraus und in die Öffentlichkeit. Der 
mündige und kompetente Bürger kann durch mehr Selbst- 
schutz sehr viel Schaden verhindern. Hier leisten das BSI 
mit seiner Website „BSI für Bürger“, die Verbraucherzen- 
tralen sowie gemeinsame Initiativen von Staat und IT- 
Wirtschaft wie „Deutschland sicher im Netz“ oder die 
Anti-Botnetz-Initiative bereits wertvolle Beiträge. Diese 
sollten daher weiter ausgebaut werden. 

Notwendig ist auch die Stärkung der Sensibilität für die 
Datensicherheit. Unter der Prämisse der Datensparsam- 
keit sollten persönliche Daten erst gar nicht an Dritte, ins- 
besondere im Internet, weitergegeben werden, sodass sie 
nicht kompromittiert oder missbraucht werden können. 
Die Enquete-Kommission empfiehlt der Bundesregierung 
zu prüfen, ob und inwieweit Einwirkungsmöglichkeiten 
bestehen, das Thema „sicheres Internet“ bei der Ausbil- 
dung von Medienkompetenz bereits in den Schulalltag zu 
integrieren. Hinsichtlich der Umsetzung, Ausführung etc. 
wird auf die Handlungsempfehlungen und weitergehen- 
den Leitfragen der Projektgruppe Medienkompentenz**’^ 
verwiesen. 

2. Empfehlungen an die Wirtschaft 

Die Enquete-Kommission betont, dass insbesondere die 
Sensibilisierung von Betreibern Kritischer Infrastrukturen 
für Gefahren und Maßnahmen besonders wichtig ist. 

Die Enquete-Kommission begrüßt daher die im Jahr 2012 
durchgeführten Fachgespräche zum IT-Schutz Kritischer 
Infrastrukturen durch das Bundesministerium des Innern. 
Sie haben dazu beigetragen, dass auf geschäftsführender 
Ebene bei Unternehmen und Verbänden das Bewusstsein 
für notwendige Sicherheitsmaßnahmen geschaffen und 
weiter geschärft wurde. *•** 

Auf geschäftsführender Ebene müssen die nofwendigen 
Sicherheifsmaßnahmen eingesefzf und unterstützf wer- 
den. 

Die Enquefe-Kommission weisf auf die Bedeutung von 
IT- Sicherheits- Schulungen für Mifarbeiter bei der Risiko- 
minimierung, gerade im Bereich von kleinen und mittle- 
ren Unternehmen (KMU) hin. Investitionen in die Mitar- 


Siehe hierzu Kapitel 5 und 6 des zweiten Zwischenberichts der En- 
quete-Kommission Internet und digtale Gesellschaft. Medienkompe- 
tenz. Bundestagsdrucksache 17/7286. 21. Oktober 2011. Online ab- 
rufbar unter: http://dipbt.bundestag.de/dip21/btd/17/072/i707286.pdf 
^03 Die Fraktionen der SPD, DIE LINKE, und BÜNDNIS 90/DIE GRÜ- 
NEN sowie der Sachverständige Alvar Freude haben gegen die Text- 
fassung dieses Absatzes gestimmt und ein Sondervotum abgegeben: 
„Die Enquete-Kommission begrüßt, dass das Bundesministerium mit 
den im Jahr 2012 durchgeführten Fachgesprächen zum IT-Schutz 
Kritischer Infrastrukturen einen ersten Schritt getan hat, um auf ge- 
schäftsführender Ebene bei Unternehmen und Verbänden das Be- 
wusstsein für notwendige Sicherheitsmaßnahmen zu schaffen und zu 
schärfen.“ 
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beiterkompetenz lohnen sich für Unternehmen, weil 
durch sie schwere Schäden vermieden werden können. 
„Endnutzer-Bildung“ nützt der Einzelperson und gleich- 
zeitig dem ganzen Unternehmen. Auch ein an der Kom- 
petenz der Mitarbeiter orientiertes Führungsmanagement 
leistet einen wichtigen Beitrag. Die Tarifpartner sollten 
darauf hinwirken, ausgebildete IT-Administratoren als 
hoch spezialisierte Fachkräfte einzuordnen und adäquat 
zu bezahlen. 

Die Enquete-Kommission regt an, dass alle Unternehmen 
einen Ansprechpartner benennen, der für die IT-Sicher- 
heit veranfworflich ist. Derzeit verfügt gerade bei den 
KMU nur jedes zweite Unternehmen über einen entspre- 
chenden Ansprechpartner. Auch die untemehmensinter- 
nen Abstimmungsabläufe und Verantwortlichkeiten sind 
noch verbesserungsfähig. Hier wäre Sensibilität dafür zu 
schaffen, dass in allen Unternehmen klare Verantwort- 
lichkeiten und eindeutige Abstimmungsabläufe zwischen 
IT- Verantwortlichen und Geschäftsführung erforderlich 
sind. Die Enquete-Kommission unterstützt die Maßnah- 
men der Bundesregierung in diesem Bereich, die u. a. 
eine Beratung von Unternehmen durch das BSl beinhal- 
ten. Diese ist fortzuführen und in Zusammenarbeit zum 
Beispiel mit den Kammern auszubauen. 

Die Enquete-Kommission regt darüber hinaus an, die Zu- 
sammenarbeit mit der Task Force IT-Sicherheit des 
BMWi als zentralem Ansprechpartner und Impulsgeber 
für den Mittelstand zu stärken. 

a) Rolle von Internet- nnd TK-Providern 

Die Enquete-Kommission weist darauf hin, dass Provi- 
dern für die „Querschnittsinfrastruktur“ Internet eine be- 
sondere Rolle und Bedeutung bei der Mitwirkung zur 
Aufklärung von Beeinträchtigungen und Angriffen zu- 
kommt. 

Aus Sicht der Enquete-Kommission sollten die Provider 
daher insbesondere im eigenen Interesse generierte Er- 
kenntnisse über aktuelle Intemetsicherheitsentwicklun- 
gen schnell an die zuständigen Behörden (zum Beispiel 
das BSl) weitergeben (Frühwarnungen). Sie sollten auch 
entsprechend den Vorgaben des Telekommunikationsge- 
setzes Maßnahmen zum Schutz vor unerlaubten Eingrif- 
fen in die Infrastruktur ergreifen und über erhebliche Stö- 
rungen der Verfügbarkeit unverzüglich informieren. 

b) Bereitstellung von Information für die Nutzerinnen 
und Nutzer über bekannte Scbadprogramme und 
Verfügbarkeit von Sicherheitswerkzeugen 

Schon heute stehen den Nutzerinnen und Nutzem zahlrei- 
che Informationsmöglichkeiten über Sicherheitsgefahren 
und Schadprogramme zur Verfügung, die teils auf Initia- 
tive staatlicher Institutionen bemhen, teils von Unterneh- 
men angeboten werden (zum Beispiel BSl für Bürger, 
Deutschland sicher im Netz, Anti-Botnetzinitiative). Ko- 
operationen zwischen privaten und öffentlichen Stellen in 
diesem Bereich sollten aus Sicht der Enquete-Kommis- 
sion weiter fortgeführt und ausgebaut werden, um mög- 


lichst hohe Standards in Bezug auf Qualität, Aktualität 
und auch Verständlichkeit der Information zu erreichen. 
Die bereitgehaltenen Informationen sollen die Nutzer in 
die Lage versetzen, selbst Maßnahmen gegen Schadsoft- 
ware zu ergreifen. Ergänzend sollte sichergestellt werden, 
dass den Nutzem einfach bedienbare Sicherheitswerk- 
zeuge zur Verfügung sfehen. 

c) Rolle von Anbietern von Telemediendiensten 

Die Enquefe-Kommission empfiehlf auch gewerblichen 
Telemediendiensfeanbietem, der IT-Sicherheit ein größe- 
res Maß an Bedeutung beizumessen. Auch deren Ange- 
bote werden ausgenutzt, um Schadprogramme zu verbrei- 
ten. Sie sollten daher prüfen, ob sie nicht durch die 
Einrichtung von anerkannten Schutzmaßnahmen in ihren 
Diensten ebenfalls einen Beitrag für mehr IT-Sicherheit 
leisten können. Ein entsprechendes effektives Handeln 
würde zu mehr Vertrauen in die angebotenen Leistungen 
bei den betroffenen Nutzerinnen und Nutzem führen. Ein 
mögliches Einschreiten des Gesetzgebers wäre dann ent- 
behrlich. 

3. Zusammenarbeit zwischen Staat und Wirtschaft 
im Bereich der IT-Sicherheit 

Die Enquete-Kommission Internet und digitale Gesell- 
schaft empfiehlt dem Deutschen Bundestag, die Bundes- 
regiemng aufzufordem, eine umfassende Bestandsauf- 
nahme der Kritischen digitalen Infrastmktur vorzulegen 
und hierbei neben den technischen Fragestellungen insbe- 
sondere auch die intersektorielle Abhängigkeit von An- 
bietern proprietärer Systeme zu untersuchen. 

Behörden zählen ebenfalls zu den Kritischen Infrastraktu- 
ren. Sie müssen deshalb ihre Systeme technisch nach dem 
Stand der Wissenschaft sichern und ihre Mitarbeiter ange- 
messen schulen. Die Enquete-Kommission regt an, die 
IT-Kompetenz der Sicherheitsbehörden in Bund und Län- 
dern fortlaufend zu verbessern, um so sicherzustellen, 
dass geltendes Recht durchgesetzt und umgesetzt werden 
kann. 

a) Stärkere Berücksichtigung der Wirtschaft 
bei der Cybersicherheitsstrategie*®'' 

Die Enquete-Kommission empfiehlt, die Cybersicher- 
heitsstrategie der Bundesregierung konsequent weiterzu- 
verfolgen. Dabei sollte die Wirtschaft stärker in strategi- 
sche Überlegungen und Stmkturen einbezogen werden, 
weil insbesondere auch internationales Know-how der 
Unternehmen für die Gewährleistung der Sicherheit uner- 
lässlich ist. Das bedeutet, dass beide Seiten, also BSl und 
Unternehmen, verstärkt Zusammenarbeiten müssen. So 
genannte Single Points of Contact (SPOC) in Unterneh- 
men und Verbänden sollten weiter etabliert werden. 


Die Fraktionen DIE LINKE, und BÜNDNIS 90/DIE GRÜNEN ha- 
ben gegen diese Handlungsempfehlung gestimmt. 
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b) Rolle von CERTs und Zusammenarbeit 
mit dem 

Die Enquete-Kommission stellt fest, dass Deutschland 
mit dem Deutschen CERT- Verbund (Computer Emer- 
gency Response Teams) eine national gut vernetzte 
CERT-Community besitzt. Das BSI ist auch international 
in Europa mit RegierungsCERTs und auf globaler Ebene 
sehr gut vernetzt, sodass ein kontinuierlicher Informa- 
tionsaustausch gegeben ist. 

Darüber hinaus steht das BSI mit den großen Soft- 
wareherstellem und Antivirensoftwareherstellem im in- 
tensiven Dialog. Informationen zu Angriffen und 
Schwachstellen, die das BSI auf diesen und anderen We- 
gen erreichen, werden über die Initiativen des UP KRl- 
TIS, der Allianz für Cybersicherheit und des Bürger- 
CERT den in den jeweiligen Initiativen organisierten Un- 
ternehmen oder auch der Öffentlichkeit in Form von 
Warnmeldungen zur Verfügung gestellt. 

c) Verbesserung des Lagebilds zur Cybersicberbeit 
am Standort Deutscbland*“ 

Das Nationale Cyberabwehrzentrum fasst in Zusammen- 
arbeit mit dem 24-Stunden erreichbaren IT-Lagezentrum 
die Erkenntnisse verschiedener Sicherheitsbehörden zu- 
sammen und kann bei konkreten Vorfällen schnell ein 
ganzheitliches Lagebild aus Behördensicht entwickeln. 

Die Enquete-Kommission hat festgestellt, dass viele In- 
temet-Service-Provider auf Basis eigener Sicherungs- 
maßnahmen einen wichtigen eigenen Beitrag bei der Ab- 
wehr beziehungsweise Eingrenzung von Cyber-Attacken 
wahmehmen. 

Sie bedauert aber, dass bisher noch nicht alle Unterneh- 
men an diesem Austausch teilnehmen und daher nur teil- 
weise auf Informationen aus der Wirtschaft zurückgegrif- 
fen werden kann. 

Schließlich steht über die Allianz für Cyber- Sicherheit 
grundsätzlich allen deutschen Unternehmen der Zugang 
zu Warnmeldungen des BSI offen. Nur ein gegenseitiger 
Informationsaustausch kann auch zu einer Verbesserung 
der Informationsbasis führen. 

Nur anhand eines vollständigen und aktuellen Lagebildes 
ist es möglich, vorhandene Zusammenhänge zwischen IT- 
Attacken auf verschiedene Infrastrukturen aufzudecken 
und die richtigen Bewertungen, Handlungsoptionen und 
gegebenenfalls Abwehrmaßnahmen abzuleiten. 

Auch können nur dann die staatlichen Sicherheitsbehör- 
den ihrem gesetzlichen Auftrag hinsichtlich der Sicher- 
stellung der öffentlichen und staatlichen Sicherheit voll- 
umfänglich nachkommen, wenn Informationen über 


Die Fraktionen der SPD, DIE LINKE, und BÜNDNIS 90/DIE GRÜ- 
NEN sowie der Sachverständige Alvar Freude haben gegen diese 
Handlungsempfehlung gestimmt. 

Die Fraktion der SPD sowie der Sachverständige Alvar Freude haben 
gegen diese Handlungsempfehlung gestimmt. 


schadensauslösende oder gefährdende IT-Angriffe vorlie- 
gen. 

Im Interesse einer noch effizienteren Gefahrenabwehr 
empfiehlt die Enquete-Kommission, Strukturen zu schaf- 
fen, die unter Wahrung von Vertraulichkeit einen stärke- 
ren Austausch über konkrete Sicherheitsbedrohungen, 
Abwehrmaßnahmen und Erfahrungen zwischen Provi- 
dern und staatlichen Stellen ermöglichen. Dabei sollten 
auch Betreiber anderer Kritischer Infrastrukturen einge- 
bunden werden. Staatlichen Stellen kann eine wichtige 
Rolle als Ermöglicher und Moderator eines solchen Aus- 
tauschs zukommen, der die tatsächlichen Bedürfnisse der 
Unternehmen berücksichtigen kann. 

Die Enquete-Kommission bittet die Bundesregierung zu 
prüfen, ob eine gesetzliche Verpflichtung von Betreibern 
Kritischer Infrastrukturen in diesem Zusammenhang er- 
forderlich ist. 

d) Beidseitiger Austausch vou luformatioueu*®’ 

Es ist sicherzustellen, dass jedem Unternehmen ein nach- 
vollziehbarer Meldeweg eines sicherheitsrelevanten Er- 
eignisses zur Verfügung steht. Dieser Meldeweg sollte 
immer auch Vertraulichkeit und auf Wunsch auch Anony- 
mität gewährleisten. 

In einem weiteren Schritt müssen die eingegangenen In- 
formationen zusammengestellt und in einer Form aufbe- 
reitet werden, sodass auch eine qualitativ hochwertige In- 
formation über mögliche Gefährdungen und Risiken 
zeitnah an die Wirtschaft übermittelt werden kann. Dies 
muss aus Sicht der Enquete-Kommission flächendeckend 
und nicht nur punktuell erfolgen. Ein schneller Informa- 
tionsfluss zwischen Bund und Ländern stellt die Grund- 
lage dafür dar. 

Es sollte auch auf bestehende regionale Partnerschaften 
zwischen der Wirtschaft und den Sicherheitsbehörden zu- 
rückgegriffen werden. Cybersicherheit wurde in diesem 
institutionalisierten Austausch bisher zwar nur in Einzel- 
fällen berücksichtigt. Aufgrund der gestiegenen Bedeu- 
tung von Cybersicherheit für die Gesamtwirtschaft sollte 
der Austausch hierzu jedoch intensiviert werden. Hierbei 
ist vor allem auf eine verbesserte Transparenz zum 
Zweck der Kontrolle und Nachvollziehbarkeit zu achten. 
Auch die Task Force „IT- Sicherheit in der Wirtschaft“ des 
BMWi sollte hier mit einbezogen werden. 

Aus Sicht der Enquete-Kommission wird der bessere In- 
formationsaustausch die Beurteilung der IT-Sicherheits- 
lage verbessern und nicht nur bei der Prävention helfen, 
sondern auch die Reaktionsfähigkeit stärken. Wichtig ist 
dabei, dass das Cyberabwehrzentrum einen reinen Infor- 
mationsaustausch anbietet, keine neuen Kompetenzen 
verteilt und das Trennungsgebot für Polizeien, Bundes- 
wehr und Geheimdienste eingehalten bleibt. 


Die Fraktionen der SPD, DIE LINKE, und BÜNDNIS 90/DIE GRÜ- 
NEN sowie der Sachverständige Alvar Freude haben gegen diese 
Handlungsempfehlung gestimmt. Es wird auf das ergänzende Son- 
dervotum verwiesen. 
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e) Gesetzliche Verankerung des IT-Grundschutzes 
des BSI als Standard für die öffentliche Verwaltung 

Die bisherige Grundlage für einen standardisierten IT- 
Grundsehutz stellt zwar ein Besehluss**** des Bundeskabi- 
netts dar. Hierdureh werden jedoch unabhängige Institu- 
tionen (wie zum Beispiel der BfDI oder aber die Bundes- 
bank) nicht verpflichtet. Eine gesetzliche Regelung 
könnte dies beseitigen. Auch könnte eine solche sicher- 
stellen, dass der Staat auch in Zukunft seiner Verantwor- 
tung für das Thema IT- Sicherheit nachkommen wird. 
Eine gesetzliche Regelung könnte festlegen, welche 
Schutzniveaus jeweils erreicht werden müssen und ent- 
sprechende Standards definieren. Darüber hinaus sollte 
ein verpflichtendes Minimalpaket auf Basis des Standards 
definiert werden. Da die bisherigen Anweisungen und 
Prüfmaßnahmen im Standard nur zu einem sehr kleinen 
Teil und dann nur implizit den Umgang mit Cloud-Diens- 
ten behandeln, ist durch die Bundesregierung eine mögli- 
che Fortschreibung des Standards „IT-Grundschutz“ zu 
prüfen. 

Die Enquete-Kommission empfiehlt darüber hinaus der 
Bundesregierung und dem Deutschen Bundestag sicher- 
zustellen, dass das BSI aufgrund der zunehmenden Be- 
deutung des Themas Cybersicherheit mit ausreichenden 
Mitteln ausgestattet ist. 

4. Sicherstellung des technischen Schutzes 
a) Grundschutz 

Bei Cyberangriffen sind Angreifer, Ziel und Motivation 
am Anfang oft schwer zu erkennen. Deswegen sind Ab- 
schreckungsmaßnahmen nicht sehr effektiv und es ist 
besser, die Widerstandsfähigkeit Kritischer Infrastruktu- 
ren zu verstärken, um ein robustes System zu sichern.®*’^ 

Dies bedeutet zuerst, durch hohe Standards in den Kriti- 
schen Infrastrukturen ein grundsätzlich hohes IT- Sicher- 
heitsniveau zu gewährleisten. Diese Standards sollen auf 
System-ZArchitekturebene angesiedelt werden, damit 
zum Beispiel Isolierungen dafür sorgen können, dass Vi- 
ren sich nicht überall ausbreiten. Aus Sicht der Enquete- 
Kommission sollen die Standards gemeinsam mit Wirt- 
schaft, Wissenschaft und öffentlicher Verwaltung in Gre- 
mien wie der Koordinierungsstelle IT-Sicherheit (KITS) 
des Deutschen Instituts für Normung e. V. (DIN) und 
möglichst international entwickelt werden. Standards 
sind besonders wichtig für Verfahren und Methoden, weil 
die Produktzyklen immer kürzer werden. Sie sollten mög- 
lichst in den Produktentwicklungsprozess implementiert 
werden. 


Beschluss der Bundesregierung zur Sicherheit im elektronischen 
Rechts- und Geschäftsverkehr mit der Bundesverwaltung vom 
16. Januar 2002. Online abrufbar unter: https://www.bsi.bund.de/ 
SharedDocs/Downloads/DE/BSI/ElekSignatur/kab 1 60 1 02_pdf.pdf? 
blob=publicationFile 

809 Ygi Sommer, Peter/Brown, lan: Reducing Systemic Cybersecurity 
Risk. OECD/IFP Project on „Future Global Shocks“. 14. Januar 2011. 
Online abrufbar unter: http://www.oecd.org/govemance/risk/46889 
922.pdf 


Software und Hardware sollten bereits von Anfang an 
möglichst sicher entwickelt werden. Insbesondere Sicher- 
heitslücken in der Hardware sind oft schwierig festzustel- 
len und können dann zu einem späteren Zeitpunkt durch 
Fernsteuerung ausgenutzt werden. Das System ist in ei- 
nem solchen Fall auch nicht schnell wiederherstellbar. 

Die Empfehlung der Enquete-Kommission für den Be- 
reich Datenschutz und Persönlichkeitsrechte, den Grund- 
satz Privacy by Design/by Default als verpflichtende Vor- 
gaben bei der Entwicklung und dem Einsatz neuer 
Technologien festzuschreiben, kann auch auf den Sicher- 
heitsbereich übertragen werden. 

Für den Hochsicherheitsbereich sollten möglicherweise 
neue Modelle von Hardware und Software konzipiert und 
kontinuierlich weiterentwickelt werden. Produkte soll- 
ten vor ihrer Verbreitung auch für diesen Bereich von ei- 
ner unabhängigen Stelle geprüft werden.*" 

Die Enquete-Kommission bittet die Bundesregierung zu- 
dem zu prüfen, ob die Verpflichtung von Betreibern Kriti- 
scher Infrastrukturen zur Erfüllung von Mindestanforde- 
rungen (Stand der Technik) an IT-Sicherheit durch eine 
abstrakte gesetzliche Regelung sinnvoll ist. 

b) SCADA- und PLC-Systeme 

Gerade bei SCADA- und Programmable Logic Control- 
ler(PLC)*’2-Systemen, die bei Kritischen Infrastrukturen 
angewendet werden, sollten aus Sicht der Enquete-Kom- 
mission Sicherheitsaspekte stärker als bisher berücksich- 
tigt werden. Grundsätzlich gibt es zwei Prinzipien, näm- 
lich das „Security through Obscurity“-Prinzip*'* und das 
Kerckho ff- Prinzip* i'*. Security through Obscurity bedeu- 
tet, dass die Funktionsweise der Software technisch ver- 
deckt oder verschleiert wird, um es dem Angreifer zu er- 
schweren, ausnutzbare Sicherheitslücken zu entdecken. 
Die Methoden der Absicherung - aber auch die Absiche- 
rung selbst - sind geheim. Falls der Angreifer im Vorfeld 
Informationen über das System erlangt, ist keine Sicher- 
heit mehr gegeben, da das Prinzip nur so lange Sicherheit 


810 Vgl. Gaycken, Sandro: Schriftliche Stellungnahme, vorgelegt im 
Rahmen des Expertengespräches „Sicherheit im Netz“ der Projekt- 
gruppe Zugang, Struktur und Sicherheit im Netz der Enquete-Kom- 
mission Internet und Digitale Gesellschaft des Deutschen Bundesta- 
ges vom 28. November 2011, S. 3 f Online abrufbar unter: http:// 
www.bundestag.de/intemetenquete/dokumentation/Zugang_Struktur 
_und_Sicherheit_im_Netz/PGZustrSi_201 1-1 l-28_oeffentliches_Ex 
pertengespraech/PGZuStSi_20 11-11 -28_Expertengespraech_Stellung 
nahme_DrGaycken.pdf 

Siehe hierzu auch die Kapitel 2.3.5 sowie 3.6 des fünften Zwischen- 
bericht der Enquete-Kommission Internet und digitale Gesellschaft. 
Datenschutz, Persönlichkeitsrechte. 15. März 2012. Bundestags- 
dmcksache 17/8999. Online abmfbar unter: http://dipbt.bundestag. 
de/dip21/btd/17/089/1708999.pdf 

Siehe hierzu: Wikipedia - The free encyclopedia: Programmable lo- 
gic Controller. Online abmfbar unter: http://en.wikipedia.org/wiki/ 
Programmablelogiccontroller 

Siehe hierzu: Wikipedia - Die freie Enzyklopädie: Security through 
obscurity. Online abmfbar unter: http://de.wikipedia.org/wiki/ 
Security_through_obscurity 

Siehe hierzu: Wikipedia - Die freie Enzyklopädie: Kerckhoffs’ Prin- 
zip. Online abmfbar unter: http://de.wikipedia.org/wiki/Kerckhoffs_ 
Prinzip 
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garantiert, wie der Angreifer die Sicherheitslücken nicht 
kennt. Der Personenkreis, der in die Methoden der Absi- 
cherung „eingeweiht“ werden muss, ist sehr groß, weil 
das Prinzip jedem Zulieferer sowie jeder Firma, die sol- 
che Anlagen oder Teile davon installiert, bekannt sein 
muss. Damit ist die Gefahr des Geheimnisverrats enorm 
hoch, weil die Personengruppe, die Zugang zu dem Ge- 
heimwissen hat, unkontrollierbar groß wird. 

Kritische Infrastrukturen benötigen stattdessen Systeme, 
deren technische Funktionsweise prinzipiell vollständig 
offengelegt werden kann (das so genannte Kerckhoff- 
Prinzip), ohne dass ein Sicherheitsrisiko entstehen kann. 
Notwendige Zugangsbeschränkungen, wie zum Beispiel 
Zugangsschlüssel oder Passwörter, müssen selbstver- 
ständlich absolut geheim bleiben und dürfen nur einer 
kleinstmöglichen Personengiuppe zur Verfügung gestellt 
werden. 

Die Funktionsweise der Systeme selbst sollte prinzipiell 
so sicher sein, dass auch bei deren genauer Kenntnis 
keine Gefahr eines Angriffs besteht. Einmal an diesem 
Punkt angelangt, ist die Offenlegung nur förderlich für 
das Auffinden möglicher weiterer Sicherheitslücken. Die- 
ser sich positiv verstärkende Kreislauf aus Offenlegung 
und Bugfixes aufgrund von Meldungen interessierter 
Bürgerinnen und Bürger, die nun jeder Fachkundige ab- 
geben kann, führt zu den denkbar sichersten Systemen. 
Die Gefahr, dass die Zugangsschlüssel durch menschliche 
Fehler zu dem Angreifer gelangen, stellt dann das größte 
Risiko dar. 

Aus Sicht der Enquete-Kommission ist ein weiterer be- 
kannter möglicher Problempunkt, dass zwischen dem Be- 
kanntwerden einer Sicherheitslücke und den Sicherheits- 
updates immer ein Zeitraum liegt, der möglicherweise 
von Angreifern genutzt werden kann. Die Enquete-Kom- 
mission empfiehlt daher Bund, Ländern und der Wirt- 
schaft, eine schnelle Handlungsfähigkeit bei Auftreten 
entsprechender Sicherheitslücken sicherzustellen (zum 
Beispiel durch ausreichend geschultes Personal). Gerade 
bei Anlagen zur Maschinensteuerung sind Updates 
schwierig und können nur selten geschehen, weil dazu in 
einigen Fällen die Anlage vollständig heruntergefahren 
werden muss.®'^ Der Open- Source- Weg, also das Kerck- 
hoff-Prinzip, ist daher für Kritische Infrastrukturen ein 
geeigneter Weg. 

Die Enquete-Kommission empfiehlt Unternehmen, die 
Software für bestimmte Kritische Infrastrukturen entwi- 
ckeln, diese vor der Verwendung durch einen zertifizier- 
ten unabhängigen Dritten (zum Beispiel BSI oder TÜV) 
prüfen zu lassen (IT-Security Audit) und die Prüfberichte 
zu veröffentlichen. 

Wie in der Wirtschaft üblich, sollte gerade gegenüber 
Herstellern von Software für besfimmfe Kritische Infra- 
strukturen zwingend darauf geachtet werden, dass der 
Source Code zur Überprüfung zugänglich gemacht wird. 


Vgl. Seewald, Maik G.: Schwierige Hackerabwehr. In: Spektrum der 
Wissenschaft, 10/2011, S. 88-89. 


IT- Sicherheitsaspekte sollen bereits in der fachlichen wie 
auch in der allgemeinen technischen Auslegung zukünfti- 
ger Kritischer Infrastrukturen von Anfang an ausreichend 
berücksichtigt werden.*'® 

c) Neue Technologien 

Die Enquete-Kommission hat die Entwicklung der Wirt- 
schaft hin zu mehr Cloud Computing aufmerksam ver- 
folgt. Sie stellt fest, dass gerade für viele alltägliche 
IT-Nutzungen Cloud Computing ein Mehr an Sicherheit 
bewirken kann, da auch private und kleine gewerbliche 
Nutzer damit Zugang zu Speicher- und Anwendungssys- 
temen mit professionellem Sicherheitsmanagement erhal- 
ten, ohne hierfür selbsf mit eigener Expertise tätig werden 
zu müssen. Auf der anderen Seite können gerade bei der 
Nutzung für sicherheitskritische Daten und Anwendun- 
gen aus Sicht der Enquete-Kommission auch Sicher- 
heitsprobleme entstehen, zum Beispiel, wenn die Au- 
thentifizierung nicht sicher oder die Verfügbarkeit nicht 
umfassend gewährleistet ist. Sie regt daher eine vertiefte 
Diskussion darüber an, welche kritischen Daten in der 
Cloud vorgehalten und welche Geschäfte in der Cloud 
stattfinden können. Diese grundsätzliche Diskussion 
sollte bei allen anderen zugangsgesicherten Services ge- 
führt werden, da sich diese Fragen auch dort stellen.*'^ 

Die Enquete-Kommission hat auch die zunehmende Ein- 
führung von Smart Meters bei Kritischen Infrastrukturen 
aufmerksam verfolgt. Sie sieht auch in diesem Bereich 
technische und datenschutzrechtliche Risiken, die noch 
nicht vollständig ausgeräumt sind. Aus ihrer Sicht muss 
sichergestellt werden, dass die Verbraucherdaten nicht be- 
liebig oft abgefragt werden können. Dies kann durch 
keine oder eine reduzierte Datenspeicherung erreicht wer- 
den. Weiterhin muss die Verbindung zwischen Smart Me- 
ter und Anbieter besonders gesichert sein, um ein Mithö- 
ren oder eine Man-in-the-middle-Attacke durch Hacker 
auszuschließen. Auch auf Seiten des Anbieters müssen 
Daten gegen den Zugriff von unberechtigten Personen ge- 
schützt werden. Zudem muss die Software beim Anbieter, 
die Firmware auf dem Smart Meter sowie die Verschlüs- 
selung und Authentifizierung regelmäßig auf den neues- 
ten Stand gebracht werden. Dass dies erfolgt, kann nur 
durch unabhängige Dritte geprüft werden, mit transparent 
für Bürgerinnen und Bürger einsehbaren Prüfberichten. 
Ergänzend weist die Enquete-Kommission darauf hin. 


816 Vgl. Könen, Andreas: Schriftliche Stellungnahme, vorgelegt im Rah- 
men des Expertengespräches „Sicherheit im Netz“ der Projektgruppe 
Zugang, Struktur und Sicherheit im Netz der Enquete-Kommission 
Internet und Digitale Gesellschaft des Deutschen Bundestages vom 
28. November 2011. Online abrufbar unter: http://www.bundestag. 
de/intemetenquete/dokumentation/Zugang_Struktur_und_Sicherheit 
_im_Netz/PGZustrSi_20 11-11 -28_oeffentliches_Expertengespraech/ 
PGZuStSi_20 11-11 -28_Expertengespraech_Stellungnahme_Koenen. 
pdf 

Die datenschutzrechtlichen Fragen des Cloud Computing wurden 
von der Projektgruppe Datenschutz, Persönlichkeitsrechte der En- 
quete-Kommission Internet und digitale Gesellschaft behandelt. Vgl. 
hierzu Bundestagsdrucksache 17/8999: Fünfter Zwischenbericht der 
Enquete-Kommission Internet und digitale Gesellschaft. Daten- 
schutz, Persönlichkeitsrechte. 15. März 2012. Online abrufbar unter: 
http://dipbt.bundestag.de/dip21/btd/17/089/1708999.pdf 



Deutscher Bundestag - 17. Wahlperiode 


-99- 


Drucksache 17/12541 


dass neue Technologien auch zum Ausbau der Speicher- 
kapazitäten und zur Reduktion der Komplexität benutzt 
werden können.*'* 

d) Trennung von Systemen 

Die Enquete-Kommission weist darauf hin, dass die stei- 
gende Vernetzung von Steuerung und Information mit ei- 
ner wachsenden Anzahl von Schnittstellen zu einer erheb- 
lichen Skalierbarkeit von Störungen führt. Die dabei 
entstehenden Kaskadeneffekte können über die ursprüng- 
lich gestörte oder angegriffene Struktur erheblich hinaus- 
gehen und zu weitflächiger Dysfunktionalität führen. Das 
Einziehen von technischen „Brandmauern“ wird mit 
steigender Komplexität der Informationsstrukturen zu- 
nehmend schwieriger, da kaum mehr ein vollständiger 
Überblick über die wachsende Vielfalt möglicher Domi- 
noeffekte und Übersprungstellen zu gewinnen ist. 

Eine mögliche Gegenstrategie liegt in der Reduktion von 
Komplexität. Diese kann in einer Trennung von Syste- 
men komplexer Informationsstrukturen, der physischen 
Trennung von eindeutig identifizierten „Kritischen“ und 
„weniger Kritischen“ Informationsstrukturen oder dem 
teilweisen Rückgriff auf einfachere Steuerungs- und In- 
formationsstrukturen geschehen. Teil dieser Strategie 
kann auch das Einziehen getrennter und abgesicherter Re- 
dundanzen für zentrale Prozesse sein. Wichtig ist dabei 
deren verifizierte Entkoppelung von Skalen- und Domi- 
noeffekten. 

Die Enquete-Kommission regt daher an, dass die Bundes- 
regierung das BSI beauftragt zu prüfen, welche Kriti- 
schen Infrastrukturen jetzt und auf welche Weise ans Netz 
angeschlossen sind. „Zwei Beispiele von Kritischen 
Strukturen mit nahezu ungeschützten Intemetzugängen 
sind einige Steuerungen von Schleusentoren und einige 
Notrufnummem . “ * ■ ^ 

Die Enquete-Kommission weist darüber hinaus darauf 
hin, dass es zusätzlich die Möglichkeit gibt, eine vom In- 
ternet unabhängige Kommunikationsplattform zur Ver- 
netzung von KRITIS zu entwickeln. Dies haben bei- 
spielsweise die USA mit ihrem „Global Information Grid 
Bandwidth Expansion“ getan. *2" 


Siehe hierzu: Birkmann, Jöm/Bach, Claudia/Guhl, Silvia/Witting, 
Maximilian/Welle, Torsten/Schmude, Miron: State of the Art der 
Forschung zur Verwundbarkeit Kritischer Infrastrukturen am Bei- 
spiel Strom/Stromausfall. Forschungsforum Öffentliche Sicherheit. 
Schriftenreihe Sicherheit Nr. 2. Oktober 2010. Online abrufbar unter: 
http://www.sicherheit-forschung.de/schriftenreihe/sr_v_v/sr_2.pdf 
Gaycken, Sandro: Schriftliche Stellungnahme, vorgelegt im Rahmen 
des Expertengespräches „Sicherheit im Netz“ der Projektgruppe Zu- 
gang, Struktur und Sicherheit im Netz der Enquete-Kommission In- 
ternet und Digitale Gesellschaft des Deutschen Bundestages vom 
28. November 2011, S. 3. Online abrufbar unter: http://www.bundes 
tag.de/intemetenquete/dokumentation/Zugang_Struktur_und_Sicher 
heit_im_Netz/PGZustrSi_201 1-1 l-28_oeffentliches_Expertengespra 
ech/PGZuStSi_20 11-11 -28_Expertengespraech_Stellungnahme_Dr 
Gaycken.pdf 

^20 Siehe hierzu: Birkmann, Jöm/Bach, Claudia/Guhl, Silvia/Witting, 
Maximilian/Welle, Torsten/Schmude, Miron: State of the Art der 


Obwohl die Trennung von Systemen eine Option sein 
kann, bestehen aus Sicht der Enquete-Kommission erheb- 
liche Bedenken gegen eine komplette Trennung vom 
Netz. Die Abschottung vom öffentlich zugänglichen In- 
ternet sichert Systeme dennoch nicht gegen Innentäter. 
Weiterhin kann sie auch zu einem falschen Sicherheitsbe- 
wusstsein innerhalb eines Unternehmens führen. Auch 
das Aktualisieren von Komponenten mit neuen Patches 
gegen Sicherheitslücken wird durch eine zuvor erfolgte 
Trennung von Systemen und ihre Abkoppelung vom Netz 
deutlich schwieriger - ein Ingenieur muss beispielsweise 
mit einem Datenträger die neue Software von Hand auf- 
spielen. Bestechung, Manipulation oder Erpressung von 
außen können zudem dazu führen, dass die Viren von ei- 
nem Datenträger auf alle Geräte im ganzen Netzwerk ver- 
teilt werden, ohne dass dies festgestellt oder verhindert 
werden kann. Besonders gefährlich ist es, wenn die 
Hauptkomponenten vom Internet abgetrennt, und die Si- 
cherheitsmaßnahmen darauf ausgerichtet sind, aber trotz- 
dem weniger beachtete Komponenten (deren Zugangs- 
möglichkeit vielleicht gar nicht bekannt ist) doch Zugang 
zum Internet haben. 

e) KRITIS“! 

Wie im Umsetzungsplan KRITIS^^^ explizit erwähnt, 
sollte die KRITIS-Strategie^^^ entsprechend der veränder- 
ten IT- Sicherheitslage laufend angepasst werden. 

Für Betreiber Kritischer Infrastrukturen (Unternehmen 
und Behörden) sollen IT- Sicherheit, Datensicherheit und 
Datenschutz eine Selbstverständlichkeit sein. Sie sind pri- 
oritär zu erfüllen und stellen damit auch einen wichtigen 
Wirtschaflsfaktor dar. In der Praxis haben sich oft markt- 
wirtschaftliche Lösungen entwickelt. Zum Beispiel 
konnte Spam bereits deswegen erfolgreich bekämpft wer- 
den, weil es für die Unternehmen lukrativ war und einen 
zusätzlichen Service gegenüber den Nutzem darstellte. 

Marktwirtschaftliche Lösungen haben sich somit aus 
Sicht der Enquete-Kommission bewährt und sind zu- 
nächst anzustreben. Sollten sie jedoch nicht zustande 
kommen und Instmmente auf freiwilliger Basis nicht 
mehr ausreichend sein, empfiehlt die Enquete-Kommis- 
sion der Bundesregiemng zu überlegen, ob für besonders 
schutzbedürflige Bereiche eine gesetzliche Pflicht zu ei- 
ner unabhängigen Sicherheitsüberprüfung und zugleich 
Zertifizierung - zum Beispiel durch den TÜV - angeord- 


Forschung zur Verwundbarkeit Kritischer Infrastrukturen am Bei- 
spiel Strom/Stromausfall. Forschungsforum Öffentliche Sicherheit. 
Schriftenreihe Sicherheit Nr. 2. Oktober 2010. Online abrufbar unter: 
http://www.sicherheit-forschung.de/schriftenreihe/sr_v_v/sr_2.pdf 
Die Fraktion DIE LINKE, hat gegen diese Handlungsempfehlung ge- 
stimmt und verweist auf das ergänzende Sondervotum. 
Bundesministerium des Innern: Umsetzungsplan KRITIS des Natio- 
nalen Plans zum Schutz der Informationsinfrastrukturen (UP KRI- 
TIS). September 2007. Online abrufbar unter: http://www.bmi.bund. 

de/SharedDocs/Downloads/DE/Broschueren/2007/Kritis.pdf? blob 

=publicationFile 

*23 Bundesministerium des Innern: Nationale Strategie zum Schutz Kri- 
tischer Infrastrukturen (KRITIS-Strategie). Juni 2009. Online abruf- 
bar unter: http://www.bmi.bund.de/SharedDocs/Downloads/DE/Bro 
schueren/2009/kritis.pdf? blob=publicationFile 
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net werden könnte. Die durchzuführenden Überprüfun- 
gen wären in regelmäßigen Zeitabständen zu wiederholen 
und würden einen hohen Standard sichern. 

5. Forschung 

Die Enquete-Kommission ist aufgrund der durchgeführ- 
ten Expertengespräche zu dem Ergebnis gekommen, dass 
es auch weiterhin einen erhöhten Forschungsbedarf zu IT- 
Angriffen gibt. Insbesondere im Hinblick auf die Anzahl 
und Motivation von Innentätem wären aussagekräftigere 
Daten beziehungsweise Statistiken wünschenswert. Eine 
fortlaufende Aktualisierung der Statistiken würde zu ei- 
ner besseren Einschätzung der Sicherheitslage beitragen. 

Die Enquete-Kommission weist zudem auf die bisherigen 
Forschungsergebnisse des Fraunhofer Instituts hin. Dem- 
nach sollten insbesondere intersektorielle Abhängigkeiten 
Kritischer Infrastrukturen und die Möglichkeit von kaska- 
dierenden Effekten genauer untersucht werden. Kaskaden 
verursachen 30 Prozent der KRITIS-Ausfälle.*^"^ 

Die Enquete-Kommission regt darüber hinaus eine bes- 
sere Zusammenarbeit zwischen Herstellern, Providern, 
Sicherheitsexperten und Anwendern an. Insbesondere 
eine enge Kooperation der Hersteller von mobilen Gerä- 
ten, von Betriebssystemen und von Schutzsoftware ist 
dringend erforderlich. Dabei dürfen aber Verantwortlich- 
keiten und Haftungsfragen nicht verwischt oder unzuläs- 
sig ausgeweitet werden. 

Die Enquete-Kommission spricht sich dafür aus, vorhan- 
dene Kompetenzen in Forschung und Industrie („Security 
made in Germany/Europe“) noch besser zu nutzen und 
auszubauen. Forschungsprojekte an Universitäten sollten 
verstärkt initiiert werden und deren Ergebnisse in Pro- 
dukte des Alltags einfließen. Das würde zu einer besseren 
Ausstattung der IT-lnfrastrukturen in Deutschland und 
Europa führen. Das gilt sowohl für Hardware (zum Bei- 
spiel eingebettefe Chips) als auch für Software (Betriebs- 
systeme). Es sollte das Ziel verfolgt werden, die kom- 
plette Lieferkette sicherer zu gestalten. Dazu gehört auch 
die physische Infrastruktur. Die Förderung von kleinen 
Unternehmen durch den Bund und die Länder wirkt inno- 
vationsfÖrdemd und stellt daher einen wichtigen Bestand- 
teil zur Erreichung des vorgenannten Ziels dar. 

6. International“^ 

Die Enquete-Kommission stellt fest, dass Sicherheit nur 
durch abgestimmte Maßnahmen auf nationaler und inter- 
nationaler Ebene erreicht werden kann. Zusätzlich zu 
Deutschlands aktuell schon sehr guter Unterstützung von 
ENISA, der Europäischen Agentur für Nefz- und Infor- 


^24 Siehe hierzu: Rome, Erich: Intersektorielle Abhängigkeiten Kritischer 
Infrastrukturen und kaskadierende Effekte. Stand der Forschung. Mo- 
dellierung, Simulation und Analyse für den Schutz Kritischer Infra- 
strukturen. Präsentation. Zukunftsforum Öffentliche Sicherheit, 
7. April 2011. Online abrufbar unter: http://www.zukunftsforum-oef 
fentliche-sicherheit.de/downloads/ZOES-12-Rome.pdf 
825 Die Fraktionen BÜNDNIS 90/DIE GRÜNEN und DIE LINKE, ha- 
ben gegen diese Handlungsempfehlung gestimmt. 


mationssicherheit, muss die Kommunikation zwischen 
ENISA und den zuständigen deutschen Behörden durch 
die Bundesregierung kontinuierlich weiter verbessert 
werden. Die internationale Zusammenarbeit auf allen 
Ebenen - Europäische Union, NATO, G8-Staaten, G20- 
Staaten, Internet Govemance Forum (IGF) und Vereinte 
Nationen - ist unverzichtbar. 

Genauso wie auf nationaler Ebene sollten auch auf euro- 
päischer und internationaler Ebene Abhängigkeiten zwi- 
schen Kritischen Infrastrukturen untersucht werden. Die 
Enquete-Kommission regt daher die Durchführung einer 
Studie zur internationalen Abhängigkeit von Kritischen 
Infrastrukturen durch die Bundesregierung an. 

Dann kann definiert werden, in welchen Bereichen ge- 
meinsame Aktionen (zunächst auf europäischer Ebene) 
notwendig sind.®^^ Momentan existieren in den europäi- 
schen Ländern im Hinblick auf den Schutz Kritischer 
Infrastrukturen unterschiedliche Schutzlevel. Weil sich 
Störungen von Kritischen Infrastrukturen auch grenz- 
überschreitend auswirken können, ist es sinnvoll, 
Schutzmaßnahmen wie zum Beispiel Standards, Bil- 
dung, Informationsaustausch, gemeinsamen Kriterien für 
Risikoanalyse usw. auf europäischer Ebene zu koordinie- 
ren. Gremien wie zum Beispiel das European Public-Pri- 
vafe Partnership for Resilience (EP3R) können hierzu 
einen wertvollen Beitrag leisten. Planspiele und Simulati- 
onen auf nationaler, europäischer und internationaler 
Ebene sind sinnvolle Maßnahmen und sollten daher von 
der Bundesregierung und den Ländern auch in Zukunft 
unterstützt werden. 

Die Enquete-Kommission unterstützt das Vorhaben der 
Bundesregierung, unter dem Dach der Vereinten Natio- 
nen einen Cyber-Kodex für gutes Verhalten von Staaten 
im Netz zu schaffen (Norms of State Behaviour in Cyber- 
space). Die Unterzeichnung eines solchen Kodexes durch 
eine Vielzahl von Staaten wäre nicht nur eine starke Ver- 
trauens- und sicherheitsbildende Maßnahme, sondern 
auch ein erster Schritt hin zu einer gemeinsamen Abwehr 
von Bedrohungen. 

4 Handlungsempfehlungen zu Kapitel 2 

Sicherheit im Internet: Kriminalität 

im lnternet®27 

Der Modus Operandi im Bereich Intemetkriminalität ist 
größtenteils schon aus konventionellen Kommunikations- 
mitteln bekannt: Straftaten, die man aus der realen Welt 
kennt, begegnet man auch im Netz. Ausnahmen stellen 
spezifische Cybercrime-Delikte wie etwa Identitätsdieb- 


826 Siehe hierzu: Hämmerli, Bemhard/Renda, Andrea: Protecting Criti- 
cal Infrastructure in the EU. CEPS Task Force Report. 2010. Online 
abrufbar unter: http://www.ceps.eu/book/protecting-critical-infrastru 
cture-eu 

827 Zu den Handlungsempfehlungen zu Kapitel 2 Sicherheit im Internet: 
Kriminalität im Internet wurden ergänzende Sondervoten von den 
Fraktionen der SPD, DIE LINKE, und BÜNDNIS 90/DIE GRÜNEN 
sowie den Sachverständigen Alvar Freude, Constanze Kurz, Annette 
Mühlberg, Prof Dr. Wolfgang Schulz, Lothar Schröder und Cornelia 
Tausch abgegeben (siehe Kapitel 5 Sondervoten). 
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stahl oder Phishing dar, doch auch diese werden bereits 
größtenteils durch die Strafrechtsnormen im Bereich der 
Datendelikte erfasst. Eine valide Darstellung der Steige- 
rungsraten dieser Delikte ist jedoch aufgrund des zum 
Teil großen Dunkelfeldes schwierig. 

Das Internet ist ein Teil unserer Gesellschaft, die eine 
fortschreitende Digitalisierung erlebt. Damit werden sich 
auch in den kommenden Jahren Erscheinungsformen von 
Kriminalität ins Internet verlagern oder dort entstehen. 

Dabei ist zu berücksichtigen, dass es sich im Bereich der 
Intemetkriminalität bereits heute oft um grenzüberschrei- 
tende Ermittlungsverfahren handelt, die nur mittels natio- 
naler Aktivitäten und Informationsquellen erfolgreich 
durchgeführt werden können. Auslandsermittlungen be- 
dingen in aller Regel justizielle Rechtshilfeersuchen, die 
den Ermittlern die benötigten Informationen nur mit er- 
heblichen Zeitverzögerungen zur Verfügung stellen. Pro- 
blematisch ist dieser Zeitverzug insbesondere vor dem 
Hintergrund der Flüchtigkeit der Daten. 

1. Vor dem Hintergrund langwieriger Rechtshilfeersu- 
chen empfiehlt die Enquete-Kommission der Bundes- 
regierung und den Ländern dringend, die Rechtshilfe- 
wege zu beschleunigen und sich auf internationaler 
oder zumindest bilateraler Ebene dafür einzusetzen, 
dass Rechtshilfeersuchen in kürzerer Laufzeit nach- 
gekommen wird. Dies könnte beispielsweise durch 
die Erweiterung bestehender Rechtshilfeabkommen 
oder aber durch einen stärkeren personellen Aus- 
tausch (beispielsweise durch gemeinsame Tagungen, 
Fortbildungsveranstaltungen und gegenseitige Hospi- 
tationen) mit den betroffenen Staaten erreicht wer- 
den. Hierbei müssen aber auch weiterhin bestehende 
Grundrechte gewahrt bleiben.®^^ 

2. Die Enquete-Kommission empfiehlt vor dem Hinter- 
grund der Überlastung der notwendigen Spezial- 
dienststellen und der weiterhin zunehmenden Bedeu- 
tung des Internets eine personelle und technische 
Aufstockung sowohl bei den Polizei- als auch bei den 
Justizbehörden des Bundes und der Länder. 

3. Die Enquete-Kommission empfiehlt dem Deutschen 
Bundestag und der Bundesregierung, kontinuierlich 
(zum Beispiel wiederkehrend alle vier Jahre) den 
Straftatenkatalog des §100a Absatz 2 StPO auf sei- 
nen rechtstatsächlichen Bedarf und die Wirksamkeit 
des Kembereichschutzes hin zu überprüfen. 

4. Die Enquete-Kommission hält einen strafrechtlichen 
Schutz nicht körperlicher Daten in der Informations- 
gesellschaft für ebenso geboten wie den strafrechtli- 
chen Schutz von Sachen. Sofern Daten weder dem 
Schutzbereich der Diebstahlsdelikte gemäß §§ 242 ff. 
StGB noch der Hehlerei gemäß §§ 259 ff. StGB un- 
terfallen, können gesetzliche Klarstellungen erforder- 
lich sein. 


^28 Die Fraktion DIE LINKE, hat gegen diese Handlungsempfehlung ge- 
stimmt und verweist auf ihr ergänzendes Sondervotum. 


Das unbefugte Abgreifen fremder Daten und der 
missbräuchliche Einsatz fremder Daten ist derzeit nur 
in Teilbereichen strafrechtlich erfasst. Betrachtet man 
beispielsweise den florierenden Handel auf den welt- 
weiten virtuellen Schwarzmärkten der Cyberkrimi- 
nellen, sind die Verkäufer/Käufer missbräuchlich er- 
langter Daten häufig weder die Täter, die die Daten 
zuvor ausgespäht haben, noch diejenigen, die sie spä- 
ter betrügerisch einsetzen (beziehungsweise ist ihnen 
dies nicht nachzuweisen). Diese Weitergabe rechts- 
widrig erlangter Daten ist jedoch bisher nicht strafbar. 
Die Enquete-Kommission fordert daher die Bundes- 
regierung auf, etwa bestehende Strafbarkeitslücken in 
diesem Bereich zu schließen. *^9 

5. Die Enquete-Kommission begrüßt die bisher bei 
Banken und Kreditkartenuntemehmen und im On- 
linebanking vorgenommenen Maßnahmen zur Eigen- 
sicherung, die im Falle eines (unbemerkten) Ausspä- 
hens von Kreditkarten- oder aber Bankdaten eine 
unmittelbare Überprüfung von vorgenommenen Bu- 
chungen beim Inhaber erlauben. Sie tragen in erheb- 
licher Weise zur Begrenzung von volkswirtschaftli- 
chen Schäden und zur Reduzierung der Attraktivität 
eines Diebstahls von Bank- und/oder Kreditkartenda- 
ten sowie zur Sicherheit des Onlinebanking bei und 
sollten daher weiter ausgebaut und verfeinert werden. 
Angesichts der aktuellen Warnungen vor Angriffen 
beim mobilen Onlinebanking empfiehlt die Enquete- 
Kommission der Bundesregierung, vergleichbare Ini- 
tiativen wie beispielsweise zum Cloud Computing 
durchzuführen, um eine deutliche Stärkung und Sen- 
sibilisierung der Öffentlichkeit zu erreichen und um 
auf mögliche Risiken und entsprechende Schutzmög- 
lichkeiten aufmerksam zu machen. 

6. Die Enquete-Kommission empfiehlt der Bundesre- 
gierung, im Dialog mit der betroffenen Wirtschafts- 
branche zu prüfen, ob es negative Auswirkungen auf- 
grund des §202c StGB für die Überprüfung von 
Sicherheitslücken in Computersystemen gibt und die 
Vorschrift gegebenenfalls entsprechend anzupas- 
sen, 

Kapitel 4 

Dokumentation der Beteiligung der 
interessierten Öffentlichkeit über die Online- 
Beteiligungsplattform enquetebeteiligung.de 

Interessierte Bürgerinnen und Bürger konnten als 
„18. Sachverständige“ über die Online-Beteiligungsplatt- 
form enquetebeteiligung.de an der Arbeit der Projekt- 
gruppe Zugang, Struktur und Sicherheit im Netz mitwir- 
ken. 


*29 Die Fraktionen der SPD, DIE LINKE, und BÜNDNIS 90/DIE GRÜ- 
NEN sowie der Sachverständige Alvar Freude haben gegen diese 
Handlungsempfehlung gestimmt. 

Siehe hierzu auch den Vorschlag „Streichung von §202c StGB („Ha- 
ckertoolverbot“)“ aus der Online-Beteiligungsplattform enquete 
beteiligung.de, abgebildet in Kapitel 4. 
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Mit Einrichtung der Projektgruppenseite*^* auf enquete- 
beteiligung.de im April 2011 hat der Vorsitzende dazu 
aufgerufen, über die Plattform handlungsorientierte Fra- 
gestellungen mit Erläuterung einzureichen, die von der 
Projektgruppe bearbeitet werden sollten. Zusätzlich hat er 
im August 2011 in einem Beitrag im Blog der Enquete- 
Kommission auf die Möglichkeit hingewiesen, sich an 
der Erstellung des Arbeitsprogrammes der Projektgruppe 
zu beteiligen. 

Zur konstituierenden und ersten Sitzung am 5. September 
2011 lagen den Mitgliedern neun Beiträge aus der interes- 
sierten Öffentlichkeit vor (drei Themenvorschläge für das 
Arbeitsprogramm, sechs Handlungsempfehlungen). Diese 
konnten in die sechs von der Projektgruppe identifizierten 
Themenfelder (für den Bereich Zugang und Struktur: Aus- 
bau und Modernisierung der Netze, Wettbewerb; für den 
Bereich Sicherheit: Schutz kritischer Infrastrukturen im 
Internet, Kriminalität im Internet, Spionage, Sabotage) 
eingeordnet werden. 

Im Anschluss an die erste Sitzung wurde auf der Online- 
Beteiligungsplattform das Arbeitsprogramm der Projekt- 
gruppe veröffentlicht. Die Bürgerinnen und Bürger waren 
nun aufgefordert, auf Basis des Arbeitsprogrammes ei- 
gene Ideen und Vorschläge zu den Themenfeldem einzu- 
bringen. 

Vor der parlamentarischen Sommerpause 2012 lagen ins- 
gesamt 20 Beiträge aus der interessierten Öffentlichkeit 
vor (drei Themenvorschläge für das Arbeitsprogramm, 
15 Handlungsempfehlungen, ein themenfremder Beitrag, 
ein Textbeitrag einer Fraktion). Die Mitglieder haben die 
Beiträge in der Sitzung vom 11. Juni 2012 gesichtet und 
geprüft, ob alle darin angesprochenen Themen Eingang in 
den Bericht gefunden haben. Die Themen des Berichts 
spiegeln sich in allen Beiträgen wider. Über die Sommer- 
pause wurden die Bürgerinnen und Bürger aufgefordert, 
weitere Handlungsempfehlungen vorzuschlagen. Darauf- 
hin kamen ein weiterer Themenvorschlag für das Arbeits- 
programm sowie eine weitere Handlungsempfehlung 
hinzu. 

Nachdem die Projektgruppe die Bestandsaufnahme im 
Oktober 2012 nahezu abgeschlossen hatte, wurden die bis 
dahin konsensualen Texte auf der Online-Beteiligungs- 
plattform veröffentlicht. 

Über den Zeitraum von Anfang November 2012 bis Ende 
Dezember 2012 waren die Bürgerinnen und Bürger noch 
einmal eingeladen, sich an der Formulierung von Hand- 
lungsempfehlungen auf enquetebeteiligung.de zu beteili- 
gen. Innerhalb des genannten Zeitraumes sind keine wei- 
teren Vorschläge aus der Öffentlichkeit eingegangen, 
wenngleich sich die Stimmenverteilung der bereits einge- 
reichten Handlungsempfehlungen während dieser Zeit- 
spanne leicht verändert hat. 


Siehe hierzu: Enquetebeteiligung.de: Zugang, Struktur und Sicher- 
heit im Netz. Online abrufbar unter: https://zugang.enquetebeteili 
gung.de/instance/zugang 


Die Mitglieder der Projektgruppe haben in der Sitzung 
vom 22. Oktober 2012 einstimmig beschlossen, die ein- 
gegangenen Vorschläge der Bürgerinnen und Bürger in- 
klusive der Stimmenverhältnisse im hier vorliegenden 
Bericht abzubilden. Lediglich der themenfremde Beitrag 
sowie der Textbeitrag einer Fraktion werden nicht aufge- 
nommen. Im Vergleich zur Anzahl eingereichter Vor- 
schläge der anderen Projekt gruppen kann die Beteiligung 
an der Arbeit der Projektgruppe Zugang, Struktur und Si- 
cherheit im Netz mit 20 themenrelevanten Beiträgen zu 
der komplexen Themenstellung als durchaus positiv be- 
wertet werden. 

Zu den insgesamt 22 Vorschlägen sind 24 Kommentare 
eingegangen. Für den Bereich der Projektgruppe auf der 
Online-Beteiligungsplattform haben sich 113 Mitglieder 
registriert. Von diesen haben acht Mitglieder Anregungen 
zum Arbeitsprogramm beziehungsweise Handlungsemp- 
fehlungen eingereicht. Die Beiträge haben 115 Bewertun- 
gen erhalten. 

Über die Sitzungstermine der Projektgruppe wurden die 
Bürgerinnen und Bürger sowohl über die Terminfunktion 
der Online-Beteiligungsplattform als auch über die Inter- 
netseite der Enquete-Kommission*32 informiert. Hier 
wurde auch aus den stets öffentlichen Sitzungen der Pro- 
jektgruppe berichtet. Auf die Veröffentlichung der Pro- 
jektgruppenberichte wurde per Twitter hingewiesen. 

Der Vorsitzende und die Mitglieder der Projektgruppe 
Zugang, Struktur und Sicherheit im Netz bedanken sich 
bei allen, die sich in die Projektgruppenarbeit eingebracht 
haben. 

Die Vorschläge wurden nach der größten Unterstützung 
sortiert und leicht redaktionell bearbeitet. Die hinzuge- 
fiigten Kommentare anderer Nutzer auf enquetebeteili- 
gung.de sind nicht abgebildet. In Klammem sind die Da- 
für- und Dagegen-Stimmen angegeben. 

Vorschlag 1 

Anbieter zur Verwendung von sicheren Verbindungen 
verpflichten? (14 : 1) 

Ziele und Beschreibung des Vorschlags 

Sollten Anbieter zur Verwendung von sicheren Verbin- 
dungen, beispielsweise bei der Übertragung von perso- 
nenbezogenen Daten, verpflichtet werden, um das Aus- 
spähen von sensiblen Daten zu verhindern? 

Grund: Viele Anbieter bieten momentan keine Möglich- 
keit, sichere Verbindungen wie zum Beispiel HTTPS zu 
verwenden und zwingen die Nutzer so zur unsicheren 
Übertragung ihrer Daten. 

Angelegt von Nutzer ,,mx880“ am 15. Mai 2011 
(https ://enquetebeteiligung.de/d/709) . 


Siehe hierzu: Deutscher Bundestag: Enquete-Kommission Internet 
und digitale Gesellschaft. Zugang, Struktur und Sicherheit im Netz. 
Online abrufbar unter: http://www.bundestag.de/intemetenquete/do 
kumentation/Zugang_Stmktur_und_Sicherheit_im_Netz/index.jsp 
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Dieser Beitrag wurde als Themenvorschlag für das Ar- 
beitsprogramm gewertet. 

Vorschlag 2 

Streichung von § 202c StGB („Hackertoolverhot“) 

(11 : 0 ) 

Ziele und Beschreibung des Vorschlags 

Vorschlag: Ersatzlose Streichung von § 202c StGB. 

Begründung: Privatpersonen und Freiberufler oder mittel- 
ständische Unternehmen, die nicht auf IT-Sicherheit spe- 
zialisiert sind, können oft nur schwer glaubhaft machen, 
sich von § 202c erfasste Hilfsmittel nicht zur Vorberei- 
tung illegaler Handlungen beschafft/hergestellt zu ha- 
ben - obwohl es hierfür viele andere legitime Gründe gibt 
(z. B. Sicherheitstests eigener Computersysteme/Websi- 
tes, Weiterbildung im Bereich IT- Sicherheit, wissen- 
schaftliches Interesse). Ohnehin ist dieses Gesetz zur Be- 
kämpfung von Computerkriminalität unnötig, da Beihilfe 
zu Vergehen nach §§ 202a und 202b bereits strafbar ist 
(was sämtliche böswilligen/schädlichen Fälle von § 202c 
abdeckt). 

Angelegt von Nutzer „Autolykos “ am 27. Juni 2011 
(https://enquetebeteiligung.de/d/780). 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 3 

„Deep Packet Inspection“ verbieten (8 : 0) 

Ziele und Beschreibung des Vorschlags 

Das Ablauschen von Kommunikationsinhalten sollte so- 
wohl Intemetuntemehmen als auch dem Staat nicht er- 
laubt sein. Bilder, Texte oder Videos sollten nicht für ei- 
nen Intemetprovider voneinander unterscheidbar sein. 
Ein Mobilfunkuntemehmen sollte kein VölP verbieten 
dürfen, da es dazu den Inhalt mitlesen müsste, was tech- 
nisch nicht ohne ein umfangreiches Überwachungssys- 
tem, welches VölP- Verschleierungen erkennen würde, re- 
alisierbar wäre. 

Angelegt von Nutzer ,, TAE “ am 8. Oktober 2011 
(https://enquetebeteiligung.de/d/943). 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 4 

Universaldienst per Gesetz (7 : 0) 

Ziele und Beschreibung des Vorschlags 

Förderprogramme und Technologie-Mix schaffen es 
nicht, das Marktversagen aufzufangen. Der Bund hat je- 
doch nach Artikel 87f des Grundgesetzes zu gewährleis- 
ten, dass flächendeckend, angemessen und ausreichend 
Dienstleistungen der Telekommunikation angeboten wer- 
den. Das TKG bietet hier keine ausreichende Definition, 
der Bundesverband gegen digitale Spaltung, -geteilt.de- 


e.V., hat hierzu bereits eine Stellungnahme in die Novel- 
lierung des TKG eingebacht (http://www.geteilt.de/fo 
rum/viewtopic.php?f=47&t=10531). Die Enquete-Kom- 
mission sollte sich intensiv mit diesem Thema 
auseinandersetzen und hierbei die technische Entwick- 
lung im Auge behalten, Begriffsdefinition und Anforde- 
rungsprofil an einen Breitbandanschluss müssen anhand 
folgender Merkmale bewertet und diskutiert werden: 
-Download- und Uploadgeschwindigkeit, -Latenzzeit, 
-Verfügbarkeit, -Datenvolumen, -Drosselung, -sonstige 
Merkmale/Einschränkungen (N etzneutralität) . 

Angelegt von Nutzer „spokesman “ am 1. September 2011 
(https ://enquetebeteiligung.de/d/889) . 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 5 

Die Rolle des Staates als Internetnutzer (6 : 0) 

Ziele und Beschreibung des Vorschlags 

Vorschlag: Die Enquete-Kommission möge ermitteln, in 
welchem Umfang der Staat selbst Intemetnutzer und 
-dienstleistungsanbieter ist. Welche behördlichen Vor- 
gänge finden online statt, welche benötigen zwingend das 
Internet? Wie begegnet man den speziellen Schutzanfor- 
derungen dieser vertraulichen Systeme? Wie kann ein 
Missbrauch ausgeschlossen werden? Mit welchen Verän- 
derungen ist in der nahen Zukunft zu rechnen? 

Angelegt von Nutzer „cschoen “ am 2 5. April 2011 
(https ://enquetebeteiligung.de/d/609). 

Dieser Beitrag wurde ald Themenvorschlag für das Ar- 
beitsprogramm gewertet. 

Vorschlag 6 

Keine generelle Vorratsdatenspeicherung (6 : 0) 

Ziele und Beschreibung des Vorschlags 

Ein Überwachungs- und Polizeistaat sollte verhindert 
werden, Bürgerrechte müssen gewahrt werden. Der Staat 
sollte nur die notwendigsten Informationen über den Bür- 
ger erhalten. Darum ist das Konzept der Vorratsdatenspei- 
cherung, wie sie in der EU-Richtlinie steht, abzulehnen. 
Intemetstraftaten, sei es Datenschutzverletzungen, wie- 
zum Beispiel die Intimsphäre verletzende Bilder, oder Ur- 
heberrechtsverletzungen, wie zum Beispiel die illegale 
Verbreitung teurer Untemehmenssoftware, sollten ver- 
folgt werden können. Bei einer Kommunikation zwischen 
zwei Bürgern sollte die Anklage nur von einem der Betei- 
ligten ausgehen dürfen. Eine schlichte Verkürzung der 
Dauer der Vorratsdatenspeicherung ist der falsche Weg, 
eine goldene Mitte zu finden, vielmehr sollte differenziert 
betrachtet werden, welche Daten gespeichert werden soll- 
ten. Dies sind ausschließlich die unverzichtbaren Zuord- 
nungsdaten von IP-Adresse und Anschluss. Auch sollte 
diese Zuordnung nicht nur live, sondern auch noch Mo- 
nate nach der Tat möglich sein, da diese nicht unbedingt 
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wiederholt werden muss. Bewegungs- und Anrufprofile 
sind dafür abzulehnen. 

Angelegt von Nutzer ,, TAE“ am 27. September 2011 
(https://enquetebeteiligung.de/d/935). 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 7 

Handlungsempfehlung - Keine Pflicht zum Einsatz 
von Providerhardware (6 : 0) 

Ziele und Beschreibung des Vorschlags 

Provider zwingen oft ihre Kunden, eine bereitgestellte 
Hardware einzusetzen (Blackbox-Zwang). Diese bietet 
jedoch oft nur einen eingeschränkten Funktionsumfang 
und das Vorgehen behindert alternative Hardware-Anbie- 
ter im Wettbewerb. Damit beschäftigt sich inzwischen 
auch die Bundesnetzagentur (siehe http://heise.de/- 
1701561). 

Daher sollte es Providern verboten werden, Kunden den 
Einsatz von Providerhardware vorzuschreiben. Außer- 
dem sollten die Provider verpflichtet werden, die Zu- 
gangsdaten herauszugeben (einige machen das jetzt ja 
auch schon freiwillig). 

Angelegt von Nutzer ,,mx880“ am 9. September 2012 
(https.V/enquetebeteiligung. de/d/ 1426). 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 8 

Pseudonymer Wehseitenaufruf (4 : 0) 

Ziele und Beschreibung des Vorschlags 

User-Tracking ist ein großes Problem im WWW. Anhand 
von IP-Adresse, Browser-Agent, Cookies, Schriftarten, 
Auflösung und vielen mehr kann ein Zugriff auf eine 
Webseite einer Person zugeordnet werden. Diese Daten 
werden auch zwischen verschiedenen Websiten ausge- 
tauscht. Damit können komplette Persönlichkeitsprofile 
erstellt werden, die angeben, wer wann was wo kauft, 
sagt, anschaut, tut. Dies muss auf jeden Fall verhindert 
werden. 

Angelegt von Nutzer ,, TAE “ am 1 7. September 2011 
(https://enquetebeteiligung.de/d/919). 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 9 

Diskriminierungsfreier Datentransport (4 : 0) 

Ziele und Beschreibung des Vorschlags 

Der Intemetzugang sollte nicht bestimmte Adressen nur 
gegen Aufpreis erreichen dürfen. Angebote wie YouTube 
sollen von einem Intemetprovider nicht künstlich gesperrt 
werden, um nachher gegen Aufpreis wieder freigeschaltet 
werden zu körmen. Ein solches Angebot steht keinem rea- 


len Gut gegenüber und würde nur der ungerechtfertigten 
Profitsteigerung von Intemetprovidem dienen, die Le- 
bensqualität der Menschen senken und große Anbieter 
wie YouTube unnötig diskriminieren und damit den Wett- 
bewerb unnötig verzerren. Ebenfalls sollte ein bekannter 
Inhalte-Anbieter für den gleichen Intemetzugang nicht 
mehr bezahlen müssen, nur weil er ein bekannter Inhalte- 
Anbieter ist. Er sollte die gleiche Leistung zu dem glei- 
chen Preis erhalten wie andere Inhalte-Anbieter auch. 

Angelegt von Nutzer „ TAE“ am 8. Oktober 2011 
(https ://enquetebeteiligung.de/d/945) . 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 10 

Hochleistungsnetze (3 : 0) 

Ziele und Beschreibung des Vorschlags 

Heute die Weichen für Morgen stellen, ohne Verpflich- 
tung keine Zielerfüllung. FTTH-Netze sind in Deutsch- 
land noch als Fremdwort gehandelt, damit dies nicht län- 
ger so bleibt, sind enorme Investitionen nötig. Es stellt 
sich die Frage, in welcher Form die am Markt tätigen Un- 
ternehmen künftig ein flächendeckendes Glasfasemetz 
zur Sichemng der Daseinsvorsorge errichten wollen und 
können. Da bis heute keine andere Technologie zur Absi- 
cherang von Bandbreiten mit wenigen Mbit/s flächende- 
ckend zur Verfügung steht, ist klar, dass eine Wettbe- 
werbslösung kein flächendeckendes Glasfasemetz 
hervorbringen wird. Der Bundesverband Initiative gegen 
digitale Spaltung, -geteilt.de- e.V., hat auch hier entspre- 
chende Ideen in die Diskussion gebracht. Eine breit ange- 
legte Diskussion über mögliche Realisiemngswege sollte 
bereits mit kurzfristigen Maßnahmen den langfristigen 
Erfolg sichern. Die Weiterentwicklung der Informations- 
und Wissensgesellschaft wird künftig auf diese Hochleis- 
tungsnetze nicht verzichten können, neue Anwendungen 
und Dienste werden abhängig von diesen Netzen sein, die 
Schlussfolgemng wird auch hier eine Gmndversorgung 
mit Anschlüssen an Hochleistungsnetze sein. 

Angelegt von Nutzer „spokesman “ am 1. September 2011 
(https ://enquetebeteiligung.de/d/887) . 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 11 

Grundversorgung mit Informationsaustausch (3 : 0) 

Ziele und Beschreibung des Vorschlags 

Jeder Bürger sollte sich informieren und andere informie- 
ren können. 

Umsetzungsvorschlag : 

Jeder Bürger sollte Anspmch auf einen Intemetanschluss 
mit stetigen 25 Mbit/s in Download- und Upload-Rich- 
tung haben. Die Latenzzeit zu dem weitentfemtesten Ser- 
ver in Deutschland sollte unter 50 Millisekunden liegen. 
Der Kostenpunkt für den Bürger sollte nicht höher als 
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30 Euro im Monat betragen. Diese Kosten sollten auch 
zur Berechnung der Leistungen für die Grundsicherung 
herangezogen werden. 

Angelegt von Nutzer ,, TAE “ am 1 7. September 2011 
(https://enquetebeteiligung.de/d/911). 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 12 

Systemische IT-Infrastrukturen, z. B. in der 
Finanzwelt, erfordern zeitgemäßere Analyse- 
anfordernngen hzgl. des Risikofaktors „Ansland“ 
( 2 : 0 ) 

Ziele und Beschreibung des Vorschlags 

Alle Länder mit einer volumenstarken Finanzindustrie 
verfugen über sysfemische Kandidaten, die dem Risiko 
„Too Big To Fail“ oder besonderen Gefahren wie „Spio- 
nage“- oder „Cyber War“-Relevanz unterliegen. 

Ein IT-Ausfall bei nur einem einzigen wichtigen Player, 
zum Beispiel in der aktuellen heißen Phase der Euro- 
Krise, könnte das gesamte Euro- oder Welt-Finanzsystem 
zum Kollabieren bringen. Man könnte verführt sein zu sa- 
gen, dass deren IT für die Sicherheit des Landes schon 
wichtiger und ausfallkritischer ist als die des Militärs. 

Die laufende Risikoanalyse der IT ist sehr komplex ge- 
worden, insbesondere wenn besonders sicherheitskriti- 
sche operationeile IT-Abläufe durch Outsourcing-Dienst- 
leister faktisch im Ausland betrieben werden. Eine 
Beschränkung auf formelle IT-Compliance verdrängt zu 
leicht die wahren Gefahren und reicht in Zeiten so nach- 
haltiger Interessenskonflikte zwischen den Ländern nicht 
mehr aus. 

Eine objektive und wirksame IT-Risikoanalyse systemi- 
scher IT erfordert die Einbindung des Risikofaktors 
„Ausland“, zum Beispiel durch die Einbindung des Kor- 
ruptionswahmehmungsindex. Eine zeitgemäße Inspira- 
tion für das Thema findet sich unter 

http://www.kes.info/archiv/online/EPlS2.html sowie 

http://www.kes.info/archiv/online/EPlS.html 

Vielleicht inspiriert Sie dies in Ihrer wichtigen staatlichen 
Aufgabe, den Bürgern IT-bezogen Sicherheit zu bieten. 

Angelegt von Nutzer ,,DrFedtke“ am 1. Juli 2012 
(https://enquetebeteiligung.de/d/1394). 

Dieser Beitrag wurde als Themenvorschlag für das Ar- 
beitsprogramm gewertet. 

Vorschlag 13 

Anonymität im Internet (3 : 2) 

Ziele nnd Beschreibnng des Vorschlags 

Anonyme Nutzer können im Internet Schaden anrichten, 
ohne zur Verantwortung gezogen zu werden, zum Bei- 
spiel mit Vireneinspeisung oder Hacking. Anonyme Nut- 
zung des Internets ist in manchen Bereichen eine wert- 


volle Methode, zum Beispiel wenn gesellschaftlich 
relevante Positionen eingebracht werden sollen, aber der 
Nutzer Angst vor Repressionen hat. Die Frage lautet, wie 
einerseits berechtigte Interessen an Anonymität erfüllt 
werden können, anderseits aber das Internet vor anony- 
men Rowdys geschützt werden kann. Kann die (interna- 
tionale) Internet-Gemeinschaft dies selbst in die Hand 
nehmen oder müssen hier staatliche Kontrollen vorgese- 
hen werden? 

Angelegt von Nutzer „gschwtbg“ am 31. Mai 2011 
(h ttps ://enquetebetei l igung. de /d/ 7 42 ) . 

Dieser Beitrag wurde als Themenvorschlag für das Ar- 
beitsprogramm gewertet. 

Vorschlag 14 

Meinungsfreiheit sichern (1 : 0) 

Ziele und Beschreibung des Vorschlags 

Es sollte im Internet ein freies Meinungsforum geben, in- 
dem jeder anonym seine Meinung posten kann. Dieses 
wird von einer zufällig aus der Bevölkerung gewählten 
Freiwilligengruppe kontrolliert. Entscheiden, ob eine 
Meinung gegen zum Beispiel das Persönlichkeitsrecht 
verstößt, tut nur die Gruppe. Die Freiwilligengruppe ar- 
beitet vollkommen anonym. Das heißt die einzelnen Kon- 
troll-Bürger kennen sich nicht gegenseitig. Außerdem 
kann niemand sie kontrollieren. Sie sind nur ihrem Ge- 
wissen unterworfen. In dem öffentlichen Meinungsforum 
sollen ausschließlich Texte gepostet werden können. Je- 
mand, der im Meinungsforum postet, kann in keinem Fall 
bestraft werden. Es ist aber möglich einzuschränken, wie 
viele Beiträge pro Intemetanschluss am Tag gestellt wer- 
den können. Dies sollte aber nicht einfach zu verändern 
sein. 

Daneben sollte es noch ein Offiine-Meinungsforum ge- 
ben, in dem alle hier beschriebenen Vorgänge mit mecha- 
nischen Schreibmaschinen und Papier stattfinden. 

Angelegt von Nutzer ,, TAE“ am 1 7. September 2011 
(https ://enquetebeteiligung.de/d/909) . 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 15 

Wetthewerh hei Internetnetzen statt Wetthewerhs- 
verhindernng dnrch anhietereigene 
TAL-Leitnngen (1 : 0) 

Ziele und Beschreibung des Vorschlags 

Der Wettbewerb sollte gefördert werden, indem die Teil- 
nehmeranschlussleitung vom keinen Unternehmen, son- 
dern vom Staat gelegt wird. Selbstverständlich bleibt es 
aber jedem Bürger frei neben dem staatlichen Angebot. 

Angelegt von Nutzer ,, TAE“ am 1 7. September 2011 
(https: //enquetebeteiligung. de/d/91 7). 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 
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Vorschlag 16 

Pseudonymer Zugang zum Internet (1 : 0) 

Ziele und Beschreibung des Vorschlags 

Im Internet sollten sich wieder Rechte durchsetzen lassen. 
Absolute Meinungsfreiheit sollte dabei jedoch auf jeden 
Fall gegeben sein. Verstöße gegen Datenschutz, Persön- 
lichkeitsrechte, Verbraucherschutz, Marken- und Urheber- 
rechte sollten sich aber durchsetzen lassen. Auch Denial- 
of-Service-Angriffe und andere Hackerangriffe sollten 
nachvollziehbar sein. Eine Überwachung von Inhalten 
wird dabei auf jeden Fall abgelehnt. Stattdessen geht der 
Beginn einer Ermittlung immer von einem Kläger aus, der 
freiwillig den Inhalt der Nachricht vorlegt, welcher si- 
gniert sein sollte, sodass seine Echtheit überprüft werden 
kann. Dazu sollten alle IP-Pakete signiert werden. 

Angelegt von Nutzer ,, TAE“ am 30. August 2011 
(https://enquetebeteiligung.de/d/881). 

Dieser Beitrag wurde als Handlungsempfehlunggewertet. 
Textvorschlag: 

Um Kriminalität im Internet zu bekämpfen, müssen zwei 
Dinge geklärt werden: 1 . Die Täter müssen identifizierbar 
sein, 2. Die Täter müssen in Europa oder Partnerländern 
greifbar sein. 

Jeder Intemetbenutzer muss durch eine pseudonyme Ad- 
resse identifizierbar sein. Alle Pakete werden verschlüs- 
selt. Dazu hat der Nutzer eine Identifikationskarte, ähn- 
lich einer SIM-Karte. Auf dieser ist ein privater Schlüssel 
gespeichert, der staatlich signiert und entweder einer Per- 
son oder einer Wohnung zuordbar ist. Mit diesem wird in 
regelmäßigen Abständen, zum Beispiel täglich, aus da- 
tenschutzrechtlichen Gründen eine neue pseudonyme 
Adresse samt einem für diesen zeitlichen Abstand und 
diese Adresse gültigen privaten Schlüssel beantragt. Über 
diese Adresse werden alle ausgehenden Pakete geschickt. 
Für eingehende Pakete oder für Server können auch stati- 
sche Adressen genutzt werden. 

Die Überwachung der Intemetkommunikation sollte ver- 
boten werden und technisch nicht möglich sein, da die 
privaten Schlüssel der Kommunikation dem Staat nicht 
bekannt sein werden. Es sollte jedem Bürger freistehen, 
eine eigene Verschlüsselung zusätzlich zu verwenden. 

Erhält der Empfänger nun Inhalte, welche dem Urheber- 
recht oder anderen Rechten widersprechen, kann er dies 
einfach nachweisen. Dazu klickt er beispielsweise mit der 
rechten Maustaste auf den Inhalt zum Beispiel einer 
E-Mail, eines Dateitransfers oder einer Webseite und 
wählt im Kontextmenü „Beweis ausdrucken“ aus. An- 
schließend wird ein Papier ausgedruckt, auf dem der In- 
halt und eine kryptographische Signierung dieses Inhalts 
mit der pseudonymen Absenderadresse zu finden ist. 

Dieses Papier legt er dem Richter vor, welcher eine Iden- 
titätsoffenlegung beschließt und das Beweis-Papier von 
einem Sachverständigen prüfen lässt. Anschließend ist 
mit der Person gemäß den geltenden Rechten zu verfah- 
ren. Alternativ könnte der Beweis natürlich auch auf CD 


oder per verschlüsselter E-Mail an das Gericht übergeben 
werden. 

Disziplinierungsmaßnahmen wie Sperren des Intemetan- 
schlusses sollten nur von einem Richter getroffen werden 
dürfen. Normalerweise sollte dieser aber Geldstrafen ver- 
hängen. 

Falls nun Personen miteinander kommunizieren, welche 
sich nicht gegenseitig anzeigen, entsteht eine vertrauliche 
Kommunikation, welche auch illegale Inhalte beinhalten 
kann. Sobald allerdings zu viele Personen dieser beitre- 
ten, könnte einer die anderen verraten. Daher werden 
diese Gruppen akzeptiert. 

Um eine Hemmschwelle für die Begehung von Urheber- 
rechtsverletzungen im Internet zu setzen, sollte eine staat- 
liche digitale Rechteverwaltung eingeführt werden. Diese 
stellt eine freiwillige Erweiterung des Computers mit spe- 
ziellen Chips und kompatibler Software dar, welche ge- 
schützte Inhalte entschlüsseln und eine Weitergabe nur 
innerhalb der Familie, nicht aber gegenüber weiteren Per- 
sonen, erlauben. Um dieses zu umgehen, müsste bei- 
spielsweise der Bildschirm abgefilmt werden. Ein Herun- 
terladen von Tools, die dieses System knacken könnten, 
sollte auf keinen Fall verboten werden, da das System 
sich nicht softwaremäßig knacken lassen wird, sodass 
dies gar nicht nötig sein wird. 

Inhalte aus dem Ausland sollten unter der Angabe von IP- 
Adressen gesperrt werden können. Der gesperrte Anbie- 
ter sollte darüber, falls möglich, benachrichtigt werden. 
Die Sperrung darf auf keinen Fall für Angebote innerhalb 
der europäischen Union erfolgen. Es sollte ein Proxy be- 
reitgestellt werden, über den Inhalte des Auslands aufge- 
rufen werden können, bei denen die Inhalte selber zen- 
siert worden sind, sodass eine feinere Zensur von 
Auslandsinhalten möglich ist. 

Die Strafen dürfen nicht allzu hoch sein, da zu beachten 
ist, dass Computer auch gehackt werden können, ohne 
dass der Hacker Spuren hinterlässt. Allerdings sollte ein 
Anreiz gesetzt werden, den Computer gut zu sichern. 
Auch kann ein ungesicherter Computer möglicherweise 
schnell von einem Nachbar oder Gast des Hauses miss- 
braucht werden. Auch sollte ein Anreiz gesetzt werden, 
seinen Computer ein wenig vor fremden Personen zu si- 
chern. 

Vorschlag 17 
OpenCrypt (1 : 0) 

Ziele und Beschreibung des Vorschlags 

Die mafiösen Verquickungen der Zertifizierungsindustrie 
mit den Browser- Anbietern führen zu einem Marktversa- 
gen bei der Durchsetzung sicherer Verbindungsdienste im 
Web. Die Behörden sollen deshalb die Möglichkeit erhal- 
ten, den Import von Root-Zertifikaten durch Browser- An- 
bieter anzuordnen, wobei mindestens eine offene Zertifi- 
zierung von allen unterstützt werden sollte. 

Derzeit ist der Zertifikatemarkt durch Marktversagen ge- 
kennzeichnet, das sich darin ausdrückt, dass entweder 
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Wucherpreise für Zertifikate gezahlt werden müssen oder 
gar keine Verschlüsselung vom Dienstanbieter bereitge- 
halten wird, wo sie möglich wäre. Das liegt daran, dass 
Rootzertifikate der freien Zerfifikatdiensfe nicht von den 
Browserherstellem importiert werden. 

Das Ziel sollte sein, dass https insgesamt http ablöst. 
Technisch kein Problem, aber das geht nur, wenn von al- 
len Browserherstellem konzertiert auf offene Zertifikate 
gesetzt wird. 

Angelegt von Nutzer ,, rebentisch “ am 30. November 2012 
(https ://enquetebeteiUgung. de/d/ 1562). 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 18 

Belastung des Netzes durch Denial-of-Service- 
Angriffe verhindern (1 : 1) 

Ziele und Beschreibung des Vorschlags 

Belastung des Netzes durch Denial-of-Service-Angriffe 
sollten technisch verhindert werden. 

Angelegt von Nuzter „ TAE “ am 1 7. September 2011 
(https ://enquetebeteiligung.de/d/9 15). 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 19 

Kommunikationsmanipulation verhindern (1 : 1) 

Ziele und Beschreibung des Vorschlags 

Es sollte gesichert sein, dass wenn jemand an jemanden 
eine Nachricht schickt, dass diese nicht von einem Kom- 
munikationsdienstleister oder einer anderen Person ver- 
ändert werden kann. 

Vorschlag Version A: 

Jeder Intemetverkehr von und zu einer Anschlussken- 
nung (zum Beispiel IP-Adresse) sollte kryptographisch 
verschlüsselt sein, damit ein Abhören des Inhalts verhin- 
dert wird. 

Vorschlag Version B : 

Jeder Intemetverkehr von und zu einer Anschlussken- 
nung (zum Beispiel IP-Adresse) muss kryptographisch si- 
gniert sein, damit Manipulationen des Inhalts verhindert 
werden. 

Angelegt von Nutzer ,, TAE “ am 1 7. September 2011 
(https://enquetebeteiligung.de/d/913). 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 


Vorschlag 20 

Ertüchtigung des Artefakttransports im Internet 
(1:5) 

Ziele und Beschreibung des Vorschlags 

Dieser Vorschlag will erreichen, dass im Internet zu trans- 
portierende Artefakte so ertüchtigt werden, dass aus ih- 
nen selbst, das heißt aus dem Inhalt eines Artefakts, ihre 
(Nicht-)Korrektheit, Bedeutung und Eigenschaft erkannt 
werden können. 

Hintergmnd: Die Zuverlässigkeit des Internet ist heute so 
desolat, dass ich frage, ob das Prinzip, auf dem das Inter- 
net aufbaut, leistungsfähig genug isf für ein Internet ge- 
mäß unseren heutigen und kommenden Anfordemngen. 
Vielleicht befinden sich die heutigen Erbauer des Internet 
in einer ähnlichen Lage wie die Dombaumeister des Mit- 
telalters, als denen die immer höher aufzutürmenden 
Dome zusammenbrachen, weil die Grandlagen der Stein- 
bautechnik nicht leistungsfähig genug waren. Erst mit 
neuen Prinzipien und neuen Technologien wurden ein 
paar hundert Jahre später der Eifelturm, die Müngstener 
Brücke und riesige Hochhäuser gebaut. 

Handlungsempfehlung: Die Enquete-Kommission könnte 
durch Fachleute, zum Beispiel durch das BSI, prüfen las- 
sen, welche Schwächen in den Prinzipien, auf denen das 
Internet sich heute gründet, zu dessen Mängeln führen 
und ob es leistungsfähigere Prinzipien für Schaffung von 
Artefakttransporten im Netz, wie oben als Ziel beschrie- 
ben, gibt. 

Angelegt von Nuzter „pauleduard“ am 10. Mai 2011 
(https: //enquetebeteiligung. de/d/701). 

Dieser Beitrag wurde als Handlungsempfehlung gewer- 
tet. 

Vorschlag 21 

Einrichtung einer unahhängigen Sicherheitskontrolle 

(2 : 10 ) 

Ziele und Beschreibung des Vorschlags 

Vorschlag: Es soll eine Einrichtung geschaffen werden, 
deren Aufgabe es ist, unangekündigt unterschiedliche 
Angriffe auf Behörden und Anbieter kritische Infrastruk- 
tur (Strom, Kommunikation, ...) auszuführen und die da- 
von Betroffenen dann zu informieren und beraten. 

Hintergrund: Solche simulierten Angriffe sind die einzige 
Möglichkeit, verlässliche Informationen über die Sicher- 
heitsstandards der betroffenen Stellen zu gewinnen. Da- 
rüber hinaus kann so ein Problembewusstsein geschaffen 
werden, was wohl noch fehlt. 

Wo man solch eine Einrichtung eingliedert (Polizei, Kata- 
strophenschutz, BSI), weiß ich nicht. 

Man kann davon ausgehen, daß andere Staaten bereits 
Angriffseinheiten haben. Deshalb ist ein solcher Selbst- 
schutz für Deufschland unverzichtbar. 

Angelegt von Nuzter „cschoen “ am 21. April 2012 
(https ://enquetebeteiligung.de/d/607). 

Dieser Beitrag wurde als Handlungsempfehlung gewertet. 
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Kapitel 5 
Sondervoten 

Zu Fußnote 51: Sondervotum der Fraktionen der SPD 
und DIE LINKE, sowie der Sachverständigen Alvar 
Freude, Constanze Kurz und Annette Mühlberg zu 
Kapitel 1/2.2.2.2.1 Chancen 

Die Chancen von IPv6 liegen für den Endanwender nicht 
auf der Hand, ergeben sich aber daraus, dass IPv6 schlicht 
eine technische Notwendigkeit zur Überwindung des 
Engpasses bei IPv4-Adressen ist. Mittels IPv6 können 
aufgrund der hohen Anzahl verfügbarer IP-Adressen alle 
Geräte eigene öffentliche Adressen erhalten, anstatt wie 
bisher nur interne. Dadurch ist eine einfachere Kommuni- 
kation beliebiger Geräte untereinander denkbar. 

Entwickler von Soft- und Hardware profitieren davon, 
dass der Aufwand für die Implementation von Kommuni- 
kation zwischen beliebigen Geräten sinkt. Häufig disku- 
tierte Beispiele wie Heimautomation und Heizungssteue- 
rung sind auch heute möglich, erfordern aber einen etwas 
höheren Aufwand bei der Implementierung der Kommu- 
nikationsprotokolle. 

Zu Fußnote 117: Sondervotum der Fraktionen der 
SPD und DIE LINKE, sowie des Sachverständigen 
Alvar Freude zu Kapitel 1/3. 1.2.1 Mobilfunklösungen 

UMTS (Universal Mobile Telecommunications System), 
der Mobilfunkstandard der dritten Generation, hat die Ba- 
sis für weitreichende mobile Intemetnutzung gelegt. 
Bandbreiten von bis zu 7,2 oder 14 Mbit/s sind heute ein 
gängiges Angebot; Bandbreiten bis 21 Mbit/s sind mit der 
UMTS-Erweiterung HSPA-l- möglich. In der Praxis wer- 
den, vor allem im mobilen Betrieb, weitaus geringere 
Bandbreiten erreicht. 

Mit LTE (Long Term Evolution), dem Mobilfunkstandard 
der vierten Generation, sind auch Anbindungen mit hö- 
heren Bandbreiten möglich. Bandbreiten von bis zu 
100 Mbit/s pro Funkzelle werden vereinzelt angeboten. 
Der LTE-Standard sieht bis zu 300 Mbit/s vor, LTE-Ad- 
vanced bis zu 1 000 Mbit/s. Die Provider versprechen ge- 
sicherte Datenraten von 50 Mbit/s pro Nutzer auch für 
solche Teilnehmer in Randgebieten einer Zelle ohne Ein- 
satz spezieller Antennenlösungen. Dedizierte Antennen- 
lösungen wie Außen- und Dachantennen mit Richtgewinn 
können zur Verbesserung dort eingesetzt werden, wo wid- 
rige Empfangsbedingungen vorliegen. In der Praxis wer- 
den nach einer Analyse vom August 2012 im Mittel Da- 
tenraten von 1,3 bis 8 Mbit/s beziehungsweise 2,6 bis 
8,9 Mbit/s erreicht. *33 Untersuchung der Fachzeit- 

schrift c't ergab kurzzeitige Spitzenwerte von 70 Mbit/s 
im Telekom-Netz und 50 Mbit/s im Vodafone-Netz, die 
allerdings nicht dauerhaft und nur in der Nähe der Funk- 
masten zu erreichen waren. *34 


*33 Vgl. o. V.: Analyse: So schnell ist LTE in der Praxis. LTE-Anbie- 
ter.info, Pressemitteilung vom 8. August 2012. Online abrufbar un- 
ter: http://www.lte-anbieter.info/presse/12/studie-lte-speed.pdf 

834 Ygi Spier, Alexander: Darf s ein bisschen schneller sein? Wie sich 
LTE im mobilen Alltag schlägt. In: c't - Magazin für Computertech- 


Neben den Übertragungsraten sind bei der Nutzung auch 
die Latenzzeiten von Bedeutung, die für die Nutzer zum 
Beispiel beim Aufbau von Intemetseiten ein Gradmesser 
für die Geschwindigkeit ihres Anschlusses und für die 
Nutzung von vielen Online-Spielen unabdingbar sind. 
Die Latenz- oder Pingzeit stellt gemeinhin die Zeit zwi- 
schen dem Absenden eines Datenpakets und der Antwort 
des angesprochenen Servers dar. Lange waren in diesem 
Punkt leitungsgebundene Zugangstechnologien den 
drahtlosen Zugangstechnologien mit einer geringen La- 
tenzzeit deutlich überlegen, mit dem LTE-Standard sind 
aber vergleichsweise geringe Latenzen möglich. Provider 
versprechen mit 10 bis 50 ms eine Latenzzeit auf ähnli- 
chem Niveau leitungsgebundener DSL-Anschlüsse, die in 
der Praxis üblicherweise Ping-Zeiten von 20 ms errei- 
chen, teilweise bis hin zu 10ms. In der Praxis erreicht 
LTE aber je nach Provider und Analyse im Schnitt eine 
Ping-Zeit von 60 bis 100 ms*33 beziehungsweise 40 bis 
60 ms. *36 

Der Intemetzugang über Mobilfunk ist jedoch - wie auch 
das Femsehkabel - eine geteilte Ressource (so genanntes 
shared medium). Die rivalisierende Nutzung innerhalb ei- 
ner Funkzelle führt zu einer Minderung der für den Einzel- 
nen verfügbaren Bandbreite. Infolgedessen werden die in 
der Praxis technisch möglichen Bandbreiten und Ping-Zei- 
ten nicht immer erreicht. Dennoch sind in LTE-Ausbauge- 
bieten und Gegenden mit schwachem (oder gar keinem) 
DSL-Ausbau höhere Bandbreiten als mit DSL möglich. 
Diese maximal erreichbaren Bandbreiten stehen jedoch 
- abhängig vom gewählten Tarif - nur für ein begrenztes 
monatliches Datenvolumen (beispielsweise zehn Giga- 
byte) zur Verfügung. Wenn das monatlich zulässige Vo- 
lumen ausgeschöpft ist, wird der Anschluss des Endkun- 
den beispielsweise auf 384 Kbit/s beim Downstream und 
64 Kbit/s beim Upstream**^ oder 64 Kbit/s beim 
Downstream und 16 Kbit/s beim Upstream*3* gedrosselt. 
Der schnellste derzeitige**^ Tarif von Vodafone*4o bietet 
bei 50 Mbit/s 30 GB pro Monat. Bei voller Ausnutzung der 
Bandbreite ist das für den ganzen Monat zur Verfügung 
stehende Volumen nach eineinhalb bis zwei Stunden 
aufgebraucht. Dieses Verhältnis ist beim derzeit*4i schnells- 
ten stationären LTE-Privatkunden-Tarif*42 der Telekom 
schlechter: Bei maximal 100 Mbit/s Bandbreite und 30 GB 
Volumen reicht dieses bei voller Bandbreite weniger als 


nik, 2012, Heft 22, S. 84-87. Online abrufbar unter: http://heise.de/ 
-1722006 

835 Vgl. 0 . V.: Analyse; So schnell ist LTE in der Praxis. LTE-Anbie- 
ter.info, Pressemitteilung vom 8. August 2012. Online abrufbar un- 
ter: http://www.lte-anbieter.info/presse/12/studie-lte-speed.pdf 

836 Ygi Spier, Alexander: Darf s ein bisschen schneller sein? Wie sich 
LTE im mobilen Alltag schlägt. In: c't - Magazin für Computertech- 
nik, 2012, Heft 22, S. 84-87. Online abrufbar unter; http://heise.de/ 
-1722006 

So die Angaben der Deutschen Telekom AG beim LTE-Angebot 
„Call&Surf via Funk“. 

So die Angaben der Deutschen Telekom AG beim LTE-Angebot 
„Business Mobile Data XL“ 

^39 Stand; August 2012. 

^40 Der Tarif „Vodafone LTE Zuhause“. 

^41 Stand: Januar 2013. 

^42 Der Tarif „Call & Surf Comfort via Funk“. 
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eine Stunde. Mobile Tarife beinhalten häufig deutlich ge- 
ringere monatliche Volumen. Der teurere Geschäftskun- 
dentarif der Telekom bietet die Möglichkeit, gegen weite- 
ren Aufpreis die zur Verfügung stehende Bandbreite auch 
bei größerem Volumen hoch zu halten. Vodafone bietet 
Ähnliches an, dort sind die Tarife aber nur für Rahmenver- 
tragskunden erhältlich. 

LTE ist gegenüber einem DSL-Anschluss mit weiteren 
Einschränkungen verbunden. So ist es nicht ohne Weite- 
res möglich, eine feste, öffentliche IP-Adresse zu bezie- 
hen. Dies kann jedoch für Anwender (beispielsweise 
Unternehmen), die einen Webserver oder ein VPN (Vir- 
tual Private Network) betreiben wollen, notwendig sein. 
Darüber hinaus wird die Nutzung innovativer Dienste wie 
beispielsweise Voice-over-lP (VölP), Instant Messaging, 
Peer-to-Peer-Kommunikation oder der Aufbau von Virtu- 
ellen Privaten Netzen (VPN) zur sicheren verschlüsselten 
Datenübertragung zwischen mehreren Endpunkten häufig 
vertraglich ausgeschlossen. 

Die Vergabe der Frequenzen für die vierte Mobilfünkge- 
neration (LTE) mit Auflagen zu einer vorrangigen Versor- 
gung „weißer Flecken“ hat bewirkt, dass die fiächende- 
ckende Breitbandversorgung vorangetrieben wurde: Im 
Oktober 2012 hat die Bundesnetzagentur festgestellt, dass 
die Versorgungsaufiagen zu diesem Zeitpunkt bereits für 
zwölf Bundesländer erfüllt waren. 

Insgesamt stellt LTE eine Alternative für die Anbindung 
von Gebiefen, in denen in naher Zukunft kein DSL- Ausbau 
zu erwarten ist, dar. Die kabelgebundene Versorgung mit 
Internet bietet aber weiterhin prinzipbedingt einige Vor- 
teile. Trotz aller Einschränkungen ist LTE kurzfristig eine 
alternative Übergangslösung, bis mit weniger Restriktio- 
nen verbundene kabelgebundene Lösungen vorliegen. 

Zu Fußnote 661: Sondervotum der Fraktionen der 
SPD und DIE LINKE, sowie der Sachverständigen 
Alvar Freude, Constanze Kurz und Annette Mühlberg 
zu Kapitel 2/2.3.3.6.4.5 Quellen-Telekommunikations- 
überwachung und Kapitel 2/2.3 .3.6.4.6 Einsatz von 
Ermittlungs-Software (so genannter Staatstrojaner) 

Mit der Online-Durchsuchung verbunden, aber in ihrem 
funktionalen Umfang dieser gegenüber beschränkt, ist die 


Bei Internet über MobiltUnk, so auch bei LTE, erhalten die Kunden 
in der Regel nur eine private IP-Adresse des Netzbetreibers. Bei der 
Kommunikation mit dem Internet wird mittels Network Adress 
Translation (NAT) die Verbindung hergestellt. Dabei teilen sich oft 
mehrere tausend Nutzerinnen und Nutzer eine öffentliche IP-Adres- 
se. Es gibt jedoch Produkte von Drittanbietem, die den Bezug einer 
festen, öffentlichen IP-Adresse auch hinter NAT ermöglichen. Dazu 
wird ein VPN (Virtuelles privates Netzwerk) zu dem Anbieter aufge- 
baut, der dieses wiederum per NAT mit einer festen IP-Adresse an 
das öffentliche Netz anbindet. Dies ist mit weiteren Kosten, höherer 
Latenz und größerem Ausfallrisiko verbunden. 

So zum Beispiel bei den LTE-Datentarifen der Deutschen Telekom 
und Vodafone. 

845 Ygi Bundesnetzagentur: Versorgungsauflage im 800-MHz-Bereich 
nunmehr auch in Mecklenburg-Vorpommern erfüllt. Pressemitteilung 
vom 8. Oktober 2012. Online abrulbar unter: http://www.bundes 
netzagentur. de/cln_ 191 1 /SharedDocs/Pressemitteilungen/DE/20 12/12 
1008 Breitbandaus bauMeckVPom.html?nn=65116 


sogenannfe Quellen-Telekommunikationsüberwachung 
(Quellen-TKÜ).*"^^ Ziel der Quellen-TKÜ isf die Überwa- 
chung von Telekommunikation (beispielsweise von 
Skype- oder anderen verschlüsselten VöIP-Telefonaten) 
direkt an der Quelle, also ehe diese vor der Übertragung 
verschlüsselt werden kann beziehungsweise nachdem sie 
auf dem Zielgerät des Kommunikationsvorgangs wieder 
entschlüsselt wurde. Das Bundesverfassungsgericht hat in 
seiner Entscheidung zur Online-Durchsuchung^'*^ zur 
Quellen-TKÜ festgehalten, dass „mit der Infiltration die 
entscheidende Hürde genommen ist, um das System ins- 
gesamt auszuspähen“, 

Ob eine Quellen-TKÜ auf der Grundlage der bestehenden 
§§ 100a, 100b StPO ein erlaubter Eingriff sein kann, ließ 
das Gericht offen. Es betonte aber drei Anforderungen, 
die eine solche Überwachungssoftware erfüllen muss: 
„Art. 10 Abs. 1 GG ist hingegen der alleinige grundrecht- 
liche Maßstab für die Beurteilung einer Ermächtigung zu 
einer ,Quellen-Telekommunikationsüberwachung‘, wenn 
sich die Überwachung ausschließlich auf Daten aus ei- 
nem laufenden Telekommunikationsvorgang beschränkt. 
Dies muss durch technische Vorkehrungen und rechtliche 
Vorgaben sichergestellt sein.“*'*^ Entsprechend sind die 
Bedingungen zur Durchführung mindestens den Anforde- 
rungen unterworfen, dass ausschließlich Telekommunika- 
tionsvorgänge abgehört werden dürfen und dass dies so- 
wohl rechtlich wie auch technisch sicherzustellen ist. 

Beim bisherigen Einsatz der Software sind diese Anfor- 
derungen nicht erfüllt worden. Sofern keine neue Rechts- 
grundlage für den Eingriff geschaffen wird, sind die 
§§ 100a, 100b SfPO nach diesen Vorgaben weiterhin 
nicht hinreichend. Das ist dadurch begründet, dass die 
geltende Regelung des § 100a StPO eine mögliche Beein- 
trächtigung des Grundrechts auf Gewährleistung der Ver- 
traulichkeit und Integrität informationstechnischer Sys- 
teme nicht ausreichend berücksichtigt. Zudem enthält 
diese Vorschrift keine Schutzvorkehrungen, um rechtlich 
und technisch sicherzustellen, dass die Überwachung nur 
die laufende Telekommunikation erfassen würde. Dazu 
müssten Bestimmungen in § 100a StPO Eingang finden, 
die der erhöhten Eingriffsintensität und den technischen 
Besonderheiten der Quellen-TKÜ gerecht werden. 

In der juristischen Fachliteratur vertritt die Mehrheit die 
Ansicht, dass die bisherige Rechtslage nicht ausreichend 
ist, um eine Quellen-TKÜ durchzuführen. So ziehen die 
Juristen Ulf Buermeyer und Matthias Bäcker den Schluss: 


846 Vgl. Braun, Frank/Roggenkamp, Jan Dirk: Ozapftis - (Un)Zulässig- 
keit von „Staatstrojanem“. In: Kommunikation und Recht (K&R), 
14. Jg. 2011, Heft 11, S. 681. 

Bxmdesverfassungsgericht (BVerfG), Urteil vom 27. Februar 2008 - 
1 BvR 370/07. In: Neue Juristische Wochenschrift (NJW), 2008, 
S. 822. 

Bxmdesverfassungsgericht (BVerfG), Urteil vom 27. Februar 2008 - 
1 BvR 370/07. In: Neue Juristische Wochenschrift (NJW), 2008, 
S. 822, Tz. 190. 

Bxmdesverfassungsgericht (BVerfG), Urteil vom 27. Februar 2008 - 
1 BvR 370/07. In: Neue Juristische Wochenschrift (NJW), 2008, 
S. 822, Tz. 190. 
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„§ 100a StPO ist keine taugliche Grundlage für eine 
Quellen-TKÜ, sofern dazu Software auf dem betroffenen 
Endgerät installiert werden soll. So begreiflich der 
Wunsch der Sicherheitsbehörden sein mag, VolP-Gesprä- 
che ebenso abhören zu können wie Festnetz- und Mobil- 
funktelefonate - im Rechtsstaat des Grundgesetzes trifft 
allein der Gesetzgeber die Entscheidung, in welche 
Grundrechte unter welchen Voraussetzungen eingegriffen 
werden darf Sofern der politische Wille besteht, auch die 
Überwachung der Telefonie über das Internet zu repressi- 
ven Zwecken zuzulassen, müsste also der Bund eine spe- 
zifische Ermächtigungsgrundlage schaffen, die insbeson- 
dere den Vorgaben der OD-Entscheidung des BVerfG 
Rechnung zu tragen hätte. 

Armin Nack, Vorsitzender des 1. Strafsenats des Bundes- 
gerichtshofs, vertritt im Karlsruher Kommentar zur Straf- 
prozessordnung seit 2008 eine vermittelnde Ansicht, in- 
dem er solche Maßnahmen auf der Grundlage der 
geltenden Strafprozessordnung nur „für eine Übergangs- 
zeit“ zulassen will. Dass der Bundesgesetzgeber zwi- 
schenzeitlich hätte handeln können, ist allerdings kaum zu 
bestreiten und nicht zuletzt durch die Novelle des BKA- 
Gesetzes belegt, die ja als Reaktion auf die Entscheidung 
des Bundesverfassungsgerichts zur Online-Durchsuchung 
beschlossen wurde und eine Rechtsgrundlage für eine 
Quellen-TKÜ enthält (§ 201 BKAG). Der innenpolitische 
Sprecher der CDU/CSU-Fraktion im Deutschen Bundes- 
tag, Hans-Peter Uhl, forderte daher in seiner Pressemittei- 


Buermeyer, Ulf/Bäcker, Matthias: Zur Rechtswidrigkeit der Quellen- 
Telekommunikationsüberwachung auf Grundlage des §100a StPO. 
In: Online-Zeitschrift für Höchstrichterliche Rechtsprechung im 
Strafrecht (HRRS), 10. Jg. 2009, Heft 10, S. 440 f Online abrufbar 
unter: http://www.hrr-strafrecht.de/hrr/archiv/09-10/index.php?sz=8; 
diese Auffassung teilt die nahezu einhellige Meinung in der wissen- 
schaftlichen Literatur, vgl. etwa Albrecht, Florian: Rechtswidrige 
Online-Durchsuchung durch das Bayrische Landeskriminalamt. An- 
merkungen zu LG Landshut, Beschl. v. 20.01.2011 - 4 Qs 346/10. 
JurPC Web-Dok. 59/2011, Abs. 1-30. Online abrufbar unter: http:// 
www.jurpc.de/jurpc/show?id=20110059; Albrecht, Florian/Dienst, 
Sebastian: Der verdeckte hoheitliche Zugriff auf informationstechni- 
sche Systeme - Rechtsfragen von Online-Durchsuchung und Quel- 
len-TKÜ. JurPC Web-Dok. 5/2012, Abs. 1-65. Online abmfbar unter: 
http://www.jurpc.de/jurpc/show?id=20 120005; Becker, Christian/ 
Meinicke, Dirk: Die sog. Quellen-TKÜ und die StPO - Von einer 
»herrschenden Meinung« und ihrer fragwürdigen Entstehung. In: 
Strafverteidiger (StV), 31. Jg. 2011, Heft 1, S. 50; Böckenförde, 
Thomas: Auf dem Weg zur elektronischen Privatsphäre. In: Juristen- 
Zeitung (JZ), 63. Jg. 2008, Nummer 19, S. 925, 934; Braun, Frank/ 
Roggenkamp, Jan Dirk: Ozapftis - (Un)Zulässigkeit von „Staatstro- 
janem“. In: Kommunikation und Recht (K&R), 14. Jg. 2011, Heft 11, 
S. 681; Heckmann, Dirk (in seiner Stellungnahme in der internen An- 
hörung des Bundesministeriums der Justiz im Januar 2012); 
Hoffmann-Riem, Wolfgang: Der grundrechtliche Schutz der Vertrau- 
lichkeit und Integrität eigengenutzter informationstechnischer Syste- 
me. In: JuristenZeitung (JZ), 63. Jg. 2008, Nummer 21, S. 1009, 
1014; Hornung, Gerrit: Ein neues Grundrecht. Der verfassungsrecht- 
liche Schutz der „Vertraulichkeit und Integrität informationstechni- 
scher Systeme“. In: Computer und Recht (CR), 24. Jg. 2008, Heft 5, 
S. 299, 300; Vogel, Joachim/Brodowski, Dominik: Anmerkung zu 
OLG Hamburg, Beschl. v. 12. 11. 2007 - 6 Ws 1/07 - Quellen-TKÜ. 
In: Strafverteidiger (StV), 29. Jg. 2009, Heft 11, S. 632 und Wolter, 
Jürgen (Hrsg.): Systematischer Kommentar zur Strafprozessordnung: 
SK-StPO. Gesamtwerk in 10 Bänden. 4. Auflage 2011, § 100a 
Rn. 30. 


lung vom 10. Oktober 2011, vergleichbare explizite 
Rechtsgrundlagen zu schaffen, wo es sie noch nicht gibt.*^' 
Auch Wolfgang Bär, Richter am Oberlandesgericht und 
lange Zeit ein Befürworter der Quellen-TKÜ schon nach 
geltender Strafprozessordnung, ist hiervon unter dem Ein- 
druck des Landshuter Trojaner- Skandals abgerückt und 
vertritt nunmehr, dass es zumindest einer Klarstellung in 
der Strafprozessordnung bedürfe. *^2 

Demgegenüber gibt es einige (ältere) Stimmen aus der un- 
tergerichtlichen Rechtsprechung, die eine Quellen-TKÜ 
für zulässig erklären. Dieser folgend vertritt dies derzeit 
auch der Praktiker-Kommentar zur Strafprozessordnung 
von Meyer-Goßner (in der Bearbeitung von Schmitt, 
§ 100a StPO Rn. 7a)*54 sowie Löffelmann im Anwalts- 
kommentar zur Strafprozessordnung, § 100a StPO 
Rn. 18. Das Amtsgericht Berlin-Tiergarten hat eine 
Quellen-TKÜ-Maßnahme in einer bisher unveröffentlich- 
ten Entscheidung hingegen abgelehnt. 

Soweit Funktionen über das Abhören von Telekommuni- 
kationsvorgängen hinausgingen, also unter der Bezeich- 
nung „Quellen-TKÜ“ letztlich eine Online-Durchsuchung 
durchgeführt wurde, liegt bereits eine Entscheidung eines 
Instanzgerichtes vor. Der Einsatz des Quellen-TKÜ-Troja- 
ners des Bayerischen Landeskriminalamtes, der den Com- 
puter eines Verdächtigen über mehrere Monate hinweg 
auch mit Hilfe einer Screenshot-Funktion überwachte, die 
alle 30 Sekunden ein Bildschirmfoto des Skype-Fensters 
und des Browser- Inhalts erstellte und diese Bilder über das 
Internet übertrug, wurde vom Landgericht Landshut mit 
rechtskräftigem Beschluss vom 20. Januar 2011 als rechts- 
widrig festgestellt, während das Gericht das Ausleiten von 
Telefonaten als rechtmäßig betrachtete. *5^ 

Der praktische Einsatz der Quellen-TKÜ ist von erhebli- 
chen rechtlichen und technischen Problemen gekenn- 


Vgl. dazu Uhl, Hans-Peter: Erforderliche Rechtsgrundlagen für alle 
Sicherheitsbehörden schaffen. Quellen-TKÜ ist unverzichtbares Er- 
mittlungsinstrument der Sicherheitsbehörden. Pressemitteilung der 
CDU/CSU-Fraktion im Deutschen Bundestag vom 10. Oktober 

2011. Online abrufbar unter: http://www.cducsu.de/Titel presse 

mitteilungerforderlicherechtsgrundlagenfuerallesicherheitsbe 

hoerdenschaf-fen/TabID 6/SubTabID 7/InhaltTypID 1/Inhalt 

ID 19908/Inhalte.aspx 

^52 Vgl. Bär, Wolfgang: Anmerkungen zu BVerfG, 27. Februar 2008 - 
1 BvR 370/07 und 1 BvR 595/07: BVerfG: Verfassungsmäßigkeit der 
Online-Durchsuchung und anderer verdeckter Ermittlungsmaßnah- 
men in Datennetzen. In: MultiMedia und Recht (MMR), 14. Jg. 
2011, Heft 10, S. 690. 

Landgericht (LG) Hamburg, Beschluss vom 13. September 2010 - 
608 Qs 17/10. In: MultiMedia und Recht (MMR), 2011, S. 693; 
Amtsgericht (AG) Bayreuth, Beschluss vom 17. September 2009 - 
Gs 91 1/09. In: MultiMedia und Recht (MMR), 2010, S. 266; Landge- 
richt (LG) Landshut, Beschluss vom 20. Januar 2011 - 4 Qs 346/10. 
In: MultiMedia und Recht (MMR), 2011, S. 690. 

854 Vgl. Meyer-Goßner, Lutz/Schmitt, Bertram: Strafprozessordnung: 
StPO. Gerichtsverfassungsgesetz, Nebengesetze und ergänzende Be- 
stimmungen. Kommentar. 55., neu bearbeitete Auflage 2012, § 100a 
StPO Rn. 7a. 

855 Ygi Krekeler, Wilhelm/Löffelmann, Markus/Sommer, Ulrich 
(Hrsg.): Anwalt Kommentar StPO. 2010. § 100a StPO Rn. 18. 

856 Ygi hierzu Landgericht (LG) Landshut, Beschluss vom 20. Januar 
2011-4 Qs 346/10, S. 7. In: MultiMedia und Recht (MMR), 2011, 
S. 690. 
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zeichnet. Durch die Veröffentlichungen des Chaos Com- 
puter Clubs (CCC) wurde zum einen die Tatsache publik, 
dass die von privaten Dienstleistem gekaufte Trojaner- 
Software für die Quellen-TKÜ in Bundes- und Landesbe- 
hörden eklatante handwerkliche Mängel aufweist, den 
Vorgaben aus Karlsruhe nicht entspricht und die Behör- 
den mangels Einsicht in den Quelltext die tatsächliche 
Funktionalität der Software nicht überprüfen konnten. 
Die Schnittstelle der Fernsteuerung des Trojaners konnte 
aufgrund von technischen Unzulänglichkeiten von Drit- 
ten genutzt werden, die Kommandos an den Trojaner wa- 
ren weder verschlüsselt noch authentifiziert. Der Bundes- 
datenschutzbeauflragte Peter Schaar bestätigte teilweise 
die Analyse in seinem nach der Veröffentlichung des 
CCC erarbeiteten Berichts zur Quellen-TKÜ vom 31. Ja- 
nuar 2012. Gleichzeitig konnte er seinem Prüfauftrag je- 
doch nur begrenzt nachkommen, da auch ihm bis heute 
eine Offenlegung des Quellcodes der verwendeten Soft- 
ware unter Verweis auf Betriebs- und Geschäftsgeheim- 
nisse des Herstellers verweigert wurde. An der gegensei- 
tigen Authentifizierung zwischen dem Quellen-TKÜ- 
Trojaner arbeitet die Firma Digitask, welche die Behör- 
den beliefert, erst seit der Veröffentlichung des CCC.*^* 
Fest steht jedoch, dass über mehrere Jahre eine Software 
für die Quellen-TKÜ eingesefzf wurde, die den Anforde- 
rungen des Bundesverfassungsgerichfs nicht genügt. 

Zu Fußnote 790: Ergänzendes Sondervotum der 
Fraktionen der SPD und BÜNDNIS 90/DIE GRÜNEN 
sowie der Sachverständigen Alvar Freude, Constanze 
Kurz, Annette Mühlberg, Prof. Dr. Wolfgang Schulz, 
Lothar Schröder und Cornelia Tausch zu den 
Handlungsempfehlungen zu Kapitel 1 Zugang zum 
Internet und Infrastruktur des Internets: Breitband 

Die Fraktionen der SPD und BÜNDNIS 90/DIE GRÜ- 
NEN sowie die Sachverständigen Alvar Freude, Constanze 
Kurz, Annette Mühlberg, Prof Dr. Wolfgang Schulz, 
Lothar Schröder und Cornelia Tausch empfehlen ange- 
sichts der herausragenden gesellschaftlichen Bedeutung 
der Breitbandversorgung in Deutschland dem Deutschen 
Bundestag, dafür einzutreten, dass 

1. kurzfristig eine flächendeckende Grundversorgung 
mit schnellen Intemetverbindungen realisiert und 
diese durch eine Universaldienstverpflichtung abge- 
sichert wird. Zur Erfüllung der sfaatlichen Gewähr- 
leistungsverantwortung für die feiekommunikative 
Grundversorgung (Artikel 87 Absatz 1 GG) sollte ein 
Breitband-Universaldienst mit einer zur Verfügung 
zu sfellenden Bandbreife implementiert werden, die 
der Mehrheit der Nutzerinnen und Nutzer zur Verfü- 
gung sfeht. Dies sollte über eine Wettbewerbs- und 
investitionsfreundliche Rahmenregulierung gesche- 
hen, um den Aufbau einer gemeinsamen, hochleis- 
tungsfähigen Infrastruktur zu beschleunigen. Die ge- 
setzlich festzulegende Bandbreite sollte entsprechend 


Vgl. Chaos Computer Club (CCC): Chaos Computer Club analysiert 
Staatstrojaner. 8. Oktober 2011. Online abrufbar unter: http://ccc.de/ 
de/updates/20 11/ staatstroj aner 
Stellimgnahme von Digitask vom 1 1 . Oktober 2011. 


den EU-Vorgaben ermittelt und gesetzlich verankert 
werden, damit derzeit mindestens die Nutzung klassi- 
scher Intemetanwendungen bei zwei MBit/s für alle 
ermöglicht wird; 

2. schnellstmöglich eine Qualitätsentwicklung mit Ge- 
schwindigkeiten von mindestens sechs MBit/s reali- 
siert wird; 

3. der schrittweise Ausbau von Hochgeschwindigkeits- 
netzen vorangetrieben wird, die deutlich höhere 
Bandbreiten von 50 Mbit/s und mehr ermöglichen 
und auch den zukünftigen Anforderungen an eine 
moderne Breitbandinfrastruktur gerecht werden. 

4. Weiterhin wird empfohlen in regelmäßigen Abstän- 
den zu prüfen, welche Übertragungsgeschwindigkei- 
ten der Mehrheit der Teilnehmer mit Intemetan- 
schluss mittlerweile zur Verfügung sfehen und den 
Breitband-Universaldiensf unter Berücksichtigung 
der Investitionssicherheit der ausbauenden Unterneh- 
men durch den Gesetzgeber dementsprechend anzu- 
passen. Die Finanzierung dieses Universaldienstes 
sollte über eine Fondslösung realisiert werden. Mit- 
tels eines Fonds wird die Finanzierung des Breit- 
bandausbaus auf alle Telekommunikationsuntemeh- 
men ab einem relevanten Marktanteil entsprechend 
ihren Marktanteilen umgelegt. 

5. Außerdem sollte der in Deutschland stockende, geo- 
grafisch weit zerstreute Glasfaserausbau durch klare 
regulatorische Maßnahmen deutlich beschleunigt und 
gezielte Anreize für die Öffnung von Glasfasemefzen 
für andere Wettbewerber gesetzt werden. Leerrohre 
müssen bei Tiefbauarbeiten verpflichtend verlegt wer- 
den, der vorbildliche Open Access anderer Anbieter 
zu Glasfasernetzen finanziell gefördert und Syner- 
gieeffekte zwischen kommunalen Versorgungsun- 
temehmen und Telekommunikationsanbietem ge- 
nutzt werden. Hilfreich dabei ist die Erstellung eines 
Baustellenatlasses für relevante Tiefbauvorhaben, die 
einen Mehrwert für den Breitbandausbau mit sich 
bringen. 

Zur Erreichung dieser Ziele empfehlen die Fraktionen der 

SPD und BÜNDNIS 90/DIE GRÜNEN sowie die Sach- 
verständigen Alvar Freude, Constanze Kurz, Annette 

Mühlberg, Prof Dr. Wolfgang Schulz, Lothar Schröder 

und Cornelia Tausch dem Deutschen Bundestag, 

1. angesichts eines Marktes mit gewaltigen Investitions- 
kosten und regional sehr unterschiedlichen Rahmen- 
bedingungen die richtige Balance zwischen Wettbe- 
werbs- und Investitionsförderung herzusfellen; 

2. alle Schritte auch mit Blick auf Planungs- und 
Rechtssicherheit aller Beteiligten durchzuführen; 

3. die Bundesnetzagentur in die Lage zu versetzen, bei 
Diskriminierungen oder Marktmachtmissbrauch schnell 
einzugreifen; 

4. durch gesetzliche Regelungen einheitliche und bes- 
sere Rahmenbedingungen zu schaffen, um alle 
sinnvollen Synergiepotenziale zu heben, damit die 
Verlege- und Aufbaukosten der Telekommunika- 
tionsuntemehmen für moderne Breitbandnefze inner- 
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halb und außerhalb der Häuser gesenkt werden kön- 
nen. 

Investierende Unternehmen und Kommunen sind auf gute 
Informationen über vorhandene und geplante Infrastruk- 
turen sowie Fördermöglichkeiten angewiesen. 

Es wird deshalb empfohlen, die Informationserhebung 
und die Informationsangebote des Bundes und der Länder 
weiter zu verbessern. Die Kommunen müssen konse- 
quenter in die Infrastrukturplanungen eingebunden wer- 
den. 

Im Sinne einer besseren Abstimmung der unterschiedli- 
chen Akteure wird dem Deutschen Bundestag empfohlen, 

1 . die Bundesregierung anzuhalten, eine stärkere Koor- 
dinierungsfunktion als bisher wahrzunehmen und re- 
gelmäßig einen nationalen Breitbandgipfel mit Bund, 
Ländern, den kommunalen Spitzenverbänden sowie 
TK-Untemehmen durchzuführen. 

2. die Bundesregierung anzuhalten, weitere etwaige 
Breitbandziele und Maßnahmen mit der Europäi- 
schen Kommission enger miteinander zu verzahnen, 
um deren Wirksamkeit sowie die Planungs- und In- 
vestitionssicherheit für Unternehmen zu erhöhen. 

Die Gewährleistung von Netzneutralität ist mit Blick auf 
den Datentransfer im Internet von zentraler Bedeutung. 
Daher empfehlen die Fraktionen der SPD und BÜND- 
NIS 90/DlE GRÜNEN sowie die Sachverständigen 
Alvar Freude, Constanze Kurz, Annette Mühlberg, Prof 
Dr. Wolfgang Schulz, Lothar Schröder und Cornelia 
Tausch dem Deutschen Bundestag, dafür Sorge zu tragen, 
dass 

1. die grundsätzliche Gleichbehandlung aller Datenpa- 
kete unabhängig von Inhalt, Dienst, Anwendung, 
Herkunft oder Ziel gewahrt bleibt; 

2. der Charakter des Internets als freies und offenes Me- 
dium bewahrt und gestärkt wird. Jeglicher Form der 
Diskriminierung im Netz ist entschieden entgegenzu- 
treten; 

3. der faire Wettbewerb als Voraussetzung für eine dy- 
namische Entwicklung des Internets und dort genutz- 
ter Dienste gewährleistet wird. 

Zu Fußnote 790: Ersetzendes Sondervotum der 
Fraktion DIE LINKE, zu den Handlungsempfeh- 
lungen zu Kapitel I Zugang zum Internet und 
Infrastruktur des Internets: Breitband 

Weil sich in vielen ländlichen Gebieten nicht genug Ge- 
winn erwirtschaften lässt, bauen die Telekommunika- 
tionsuntemehmen die notwendige Infrastruktur nicht aus. 
Deshalb müssen immer noch über eine Million Menschen 
in Deutschland ohne schnellen Intemetzugang leben. 
Während in Großstädten schon Intemetanschlüsse mit ei- 
ner Übertragungsgeschwindigkeit von 200 Mbit/s ange- 
boten werden, kriechen viele Dorfbewohner über ein Mo- 
dem ins Internet. 

Doch nicht nur die Grundversorgung ist ein Problem, auch 
der schnelle Ausbau der GlasfaserHochleistungsnetze 


muss in Schwung kommen. Glasfasemetze sind die Netze 
der Zukunft, denn Glasfaser ist das physikalisch schnellste 
Übertragungsmedium der Welt. Die Übertragungsge- 
schwindigkeit bleibt außerdem über lange Strecken erhal- 
ten und ist nicht störanfällig gegenüber elektromagneti- 
schen Feldern. Daher bedarf es klarer Weichenstellungen 
für den Glasfaserausbau. Das Ziel der Bundesregierung, 
bis 2014 drei Viertel der Haushalte mit Überfragungsraten 
von mindestens 50 Mbit/s zu versorgen, greift jedoch zu 
kurz. Diese Geschwindigkeit ist mit dem herkömmlichen 
kupferkabelbasierten VDSL zu erreichen. Außerdem ge- 
nügt zum Erreichen dieser Quote der Ausbau in dicht be- 
siedelten Gebieten. Das vertieft die digitale Spaltung zwi- 
schen Stadt und Land weiter. 

Die Fraktion DIE LINKE, empfiehlt, 

- BreitbandAnschlüsse als Universaldienstleistung ge- 
setzlich festschreiben, damit alle Bürgerinnen und 
Bürger einen gesetzlichen Anspmch auf schnelles In- 
ternet haben. Die zu gewährende Mindestbandbreite 
sollte sich dabei nach denen von der Mehrzahl der 
Teilnehmer vorherrschend verwendeten Technologien 
richten. Gegenwärtig wäre das ein Breitbandanschluss 
mit 6 Mbit/s Überfragungsgeschwindigkeit. 

- die Anfordemng an die Mindestübertragungsge- 
schwindigkeit im Rahmen einer Universaldienstleis- 
tung dynamisch zu konkretisieren, sodass das Min- 
destangebot in regelmäßigen Abständen überprüft und 
den aktuellen Entwicklungen angepasst werden muss. 
Bei den Anforderungen an ein Mindestangebot müs- 
sen neben der Bandbreite (Download und Upload) 
auch qualitative Merkmale wie Latenz und Verfügbar- 
keit berücksichtigt werden. 

- dass die Bundesregiemng sich auf der Ebene der EU 
für die unverzügliche Einbeziehung von Breitband-ln- 
temet in den EÜ-Universaldienstkatalog einsetzt. 

Zu Fußnote 797: Ergänzendes Sondervotum der 
Fraktion^ der SPD, DIE LINKE, und BÜNDNIS 90/ 
DIE GRÜNEN sowie der Sachverständigen Alvar 
Freude, Constanze Kurz, Annette Mühlberg, Prof. 

Dr. Wolfgang Schulz, Lothar Schröder und Cornelia 
Tausch zu den Handlungsempfehlungen zu Kapitel 1 
Zugang zum Internet und Infrastruktur des Internets: 
Empfehlungen hinsichtlich der Einführung des 
Internetprotokolls in der Version 6 (IPv6) 

Die nach dem neuen Intemetprotokoll IPv6 vergebenen 
Intemetadressen haben das Potenzial, zu Personenkenn- 
zeichen für jeden Intemetnutzer zu werden und zwar un- 
abhängig davon, wie viele Geräte die oder der Einzelne 
im Internet verwendet. Umso wichtiger ist es, dass bei der 
Umsetzung des neuen Standards mit der notwendigen 
Sorgfalt vorgegangen und der Datenschutz berücksichtigt 
wird. 

Vor diesem Hintergrund empfehlen die Fraktionen der 
SPD, DIE LINKE, und BÜNDNIS 90/DlE GRÜNEN so- 
wie die Sachverständigen Alvar Freude, Constanze Kurz, 
Annette Mühlberg, Prof Dr. Wolfgang Schulz, Lothar 
Schröder und Cornelia Tausch: 
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1. Bei der Umsetzung ist den Empfehlungen des Deut- 
schen lPv6-Rats und den Entschließungen nationaler 
und internationaler Datenschutzkonferenzen zum 
Schutz der Privatsphäre bei lPv6 Rechnung zu tra- 
gen. 

2. Ebenfalls ist dafür Sorge zu tragen, dass die Daten- 
schutzbeauftragten über die nötigen Mittel verfügen, 
um eine datenschutzgerechte Ausgestaltung und Im- 
plementierung von lPv6 sicherzustellen. 

3 . Intemet-Service-Provider sind darauf zu verpflichten, 
im Rahmen der Umsetzung von lPv6 verbindlich 
vorzugebende Datenschutz- und Sicherheitsvor- 
schriften umzusetzen. 

4. Die Endnutzer sollten von den Intemet-Service-Pro- 
videm in allgemein verständlicher Weise über die 
Möglichkeiten anonymer und pseudonymer Nutzung 
von lPv6-Diensten aufgeklärt werden. Insbesondere 
sollte ihnen die Wahl gelassen werden, ob sie anhand 
ihrer IP-Adresse von Diensteanbietem (beispiels- 
weise Betreibern beliebiger Webseiten) bei erneuter 
Nutzung eines Angebotes wiedererkannt werden 
können (statische IP-Adresse) oder ob dies aufgrund 
einer beispielsweise täglich wechselnden IP-Adresse 
nicht möglich sein soll. 

5. Endkunden sollten daher die Wahl zwischen festen 
und dynamischen lPv6-Adress-Präfixen (Adressbe- 
reichen) haben. Dynamische und statische Adressen 
sollten aus dem gleichen Adressbereich vergeben 
werden, damit für Dritte nicht ohne Weiteres ersicht- 
lich ist, ob eine Adresse dynamisch oder statisch ist, 
ob ein Nutzer also anhand der IP-Adresse wiederer- 
kannt werden kann. Die Anbieter sollten verpflichtet 
werden, ihren Kunden beide Optionen einräumen, 
zumindest aber ohne zustätzliche Kosten die Mög- 
lichkeit einer dynamischen anstelle einer statischen 
Zuteilung von Präfixen anzubieten. Da der Adress- 
raum bei lPv6 groß genug ist, wäre es auch möglich, 
auf Wunsch sowohl einen statischen als auch einen 
dynamischen Präfix zu vergeben. 

6. Gerätehersteller sollten die Privacy Extensions nach 
RFC 4941 bei Endkunden- Systemen standardmäßig 
aktivieren. Der Gesetzgeber wird aufgefordert, diese 
Entwicklung aufmerksam zu beobachten und diese 
Verpflichtung gegebenenfalls auch gesetzlich zu ver- 
ankern. 

Zu Fußnote 797: Ergänzendes Sondervotum der 

Fraktionen DIE LINKE, und BÜNDNIS 90/DIE 

GRÜNEN sowie der Sachverständigen Annette 

Mühlberg, padeluun und Cornelia Tausch zu den 

Handlungsempfehlungen zu Kapitel I Zugang zum 

Internet und Infrastruktur des Internets: 

Empfehlungen hinsichtlich der Einführung des 

Internetprotokolls in der Version 6 (IPv6) 

- Um Rechtsunsicherheit zu vermeiden, sollte zweifels- 
frei festgeschrieben werden, dass es sich bei IP-Adres- 
sen um personenbezogene Daten handelt. 


- Anbieter sollten verpflichtet werden, ihren Kunden die 
Möglichkeit einzuräumen, ein anonymisierendes 
Netzwerk (Multi-hop-Proxy-Routing) zu betreiben. 

- Um die im Telekommunikationsgesetz ausdrücklich 
vorgesehene Möglichkeit der anonymen Nutzung 
nicht zu unterlaufen, sollten die Hersteller dazu ver- 
pflichtet werden, nur solche Endgeräte auf den Markt 
zu bringen, die dem Kunden die freie Wahl zwischen 
anonymer oder identifizierbarer Netznutzung lassen. 
Die jeweilige Option sollte einfach und leicht wählbar 
sein, etwa durch einen leicht zugänglichen Button. Die 
Grundeinstellung sollte verpflichtend ein anonymes 
Surfen vorsehen. 

Zu Fußnote 800: Ergänzendes Sondervotum der 
Fraktion^ der SPD, DIE LINKE, und BÜNDNIS 90/ 
DIE GRÜNEN und der Sachverständigen Alvar 
Freude, Constanze Kurz, Annette Mühlberg, Prof. 

Dr. Wolfgang Schulz, Lothar Schröder und Cornelia 
Tausch zu den Handlungsempfehlungen zu Kapitel 2 
Sicherheit im Internet: Schutz Kritischer 
Infrastrukturen im Internet 

Die Fraktionen der SPD, DIE LINKE, und BÜNDNIS 90/ 
DIE GRÜNEN sowie die Sachverständigen Alvar 
Freude, Constanze Kurz, Annette Mühlberg, Prof 
Dr. Wolfgang Schulz, Lothar Schröder und Cornelia 
Tausch begrüßen es ausdrücklich, dass es der Enquete- 
Kommission gelungen ist, zu einigen grundsätzlichen 
Fragestellungen zum „Schutz kritischer Infrastrukturen“ 
eine gemeinsame Position zu erarbeiten und gemeinsame 
Handlungsempfehlungen vorzuschlagen. Leider sind 
diese gerade mit Blick auf die Stabilität und Sicherheit 
der Infrastruktur und die Schaffung eines Immunsystems 
der digitalen Gesellschaft nicht weitgehend genug, nicht 
zuletzt deswegen, weil damit das Lagebild zur Cybersi- 
cherheit und zu konkreten Angriffen nicht wirksam ver- 
bessert wird. Vor diesem Hintergrund werden folgende 
über die mehrheitlich beschlossenen Handlungsempfeh- 
lungen hinausgehenden Handlungsempfehlungen gege- 
ben: 

Stabilität und Sicherheit der Infrastruktur 

Die Enquete-Kommission hat in einer Zustandsanalyse 
herausgearbeitet, wie abhängig unsere moderne Gesell- 
schaft von Informations- und Kommunikationstechnolo- 
gien heute ist und hat diese als zentrale Kritische Infra- 
struktur (KRITIS) identifiziert. Bei großflächigen IT- 
Störungen und -Ausfällen, die als Folge unter Umständen 
sogar einen längeren Stromausfall von mehreren Tagen 
oder Wochen nach sich ziehen können, sind nicht nur Pri- 
vatpersonen und deren Haushalte, sondern auch Behör- 
den und Organisationen mit Sicherheitsaufgaben, Kran- 
kenhäuser und Pfiegeeinrichtungen, der Handel sowie 
zahlreiche weitere Wirtschaftszweige betroffen. Der Aus- 
fall oder die schwerwiegende Beeinträchtigung einer so- 
genannten Kritischen Infrastruktur, also auch der IT, kann 
kaskadierende Folgen für die gesamte Versorgungssicher- 
heit (Wasser, Energie, Transport und Verkehr etc.) nach 
sich ziehen. Die Enquete-Kommission hat in ihrem Be- 
richt auch dargelegt, wo und wodurch in diesen digital 
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vernetzten Strukturen Sieherheitslücken entstehen kön- 
nen und welehe Folgen ein längerer Ausfall einer entspre- 
ehenden Netzinfrastruktur haben kann. Des Weiteren 
wurde dargelegt, wo Kritikalität identifiziert ist und wel- 
che Schutz- und Abwehrstrukturen bereits national und 
international etabliert sind. Zudem wurden bestehende 
Defizite identifiziert und künftige Herausforderungen be- 
schrieben. 

Die digitale Vernetzung bietet viele Chancen, die auch im 
Bereich digital vernetzter Infrastrukturen zum Tragen 
kommen. Nichtsdestotrotz dürfen die in Kapitel 2/1.2 dar- 
gestellten Risiken nicht unterschätzt werden. Die Fraktio- 
nen der SPD, DIE LINKE, und BÜNDNIS 90/DlE GRÜ- 
NEN sowie die Sachverständigen Alvar Freude, 
Constanze Kurz, Annette Mühlberg, Prof Dr. Wolfgang 
Schulz, Lothar Schröder und Cornelia Tausch empfehlen 
deshalb dem Deutschen Bundestag, 

1. die Bundesregierung aufzufordem, eine umfassende 
Bestandsaufnahme der kritischen digitalen Infra- 
struktur vorzulegen und hierbei neben den techni- 
schen Fragestellungen insbesondere auch die inter- 
sektorielle Abhängigkeit von Anbietern proprietärer 
Systeme zu untersuchen. 

2. die Bundesregierung aufzufordem, zu überprüfen, ob 
und inwieweit eine verstärkte Nutzung der Möglich- 
keit einer Trennung von Systemen einen Beitrag zum 
Schutz Kritischer Infrastmkturen zu leisten vermag. 

3. in Gesetzgebungsverfahren, in denen Kritische Infra- 
stmkturen angelegt werden oder betroffen sind, die 
Regelungen so auszugestalten, dass eine Trennung 
von Systemen möglich ist beziehungsweise unter- 
stützt wird, soweit diese sich als notwendig erweist. 
Damit kann die autarke Stellung einer Kritischen Inf- 
rastmktur gefestigt und Kaskadeneffekten entgegen- 
gewirkt werden. Sie soll nicht durch immer weitere 
Vernetzungen mit anderen Infrastmkturen anfälliger 
für Angriffe von außen werden. 

4. die besondere Stellung von Energienetzen, dem Inter- 
net sowie von zentralen IT-Steuemngsnetzen als Kri- 
tische Infrastmkturen (KRITIS) hervorzuheben und 
eine verbindliche Definition festzulegen, zum Bei- 
spiel durch Festschreibung in der einschlägigen Ge- 
setzgebung etc. Hinsichtlich konkreter Auswirkun- 
gen und Folgen sowie Möglichkeiten für deren 
Bewältigung wird auf das Grünbuch des Zukunftsfo- 
mms Öffentliche Sicherheit, Kapitel 3*^^ sowie die 
TAB-Studie, Kapitel IV*“ verwiesen. 


Siehe Reichenbach, Gerold/Göbel, RalfAVolff, Hartfrid/Stokar von 
Neuforn, Silke (Hrsg.): Risiken und Herausforderungen für die Öf- 
fentliche Sicherheit in Deutschland. Szenarien und Leitfragen. Grün- 
buch des Zukunftsforums Öffentliche Sicherheit. September 2008, 
S. 16 ff. Online abrufbar unter: http://www.zukunftsforum-oeffentli 
che-sicherheit.de/downloads/Gruenbuch_Zukunftsforum.pdf 
Siehe Petermann, Thomas/Bradke, Harald/Lüllmann, Ame/Poetzsch, 
Maik/Riehm, Ulrich: Gefährdung und Verletzbarkeit moderner Ge- 
sellschaften - am Beispiel eines großräumigen Ausfalls der Strom- 
versorgung. Büro für Technikfolgen-Abschätzung beim Deutschen 
Bundestag. TAB-Arbeitsbericht Nr. 141, November 2010, S. 205 ff. 
Online abrulbar unter: http://www.tab-beim-bundestag.de/de/pdf/pu 
blikationen/berichte/TAB- Arbeitsbericht-ab 141 .pdf 


5. die Sicherheitsstrategie für KRITIS weiterzuentwi- 
ckeln und mit einer zivilen Cybersicherheitsstrategie 
zu einer integrierten Gesamtstrategie zusammenzu- 
führen, sodass auch die im Bundesdatenschutzgesetz 
(BDSG) vorhandenen Lücken etwa im Hinblick auf 
generelle Informationspfiichten sowie eine Mithaf- 
tung des Datenverarbeiters bei unrechtmäßiger Da- 
tenerlangung durch Dritte im Falle von unzureichen- 
den Sicherheitsvorkehmngen geschlossen werden. 

6. die Schaffung eines allgemeinen IT-Sicherheits-Rah- 
mengesetzes unter Einbeziehung der bestehenden be- 
ziehungsweise Ersetzung der veralteten Vorschriften, 
in dem auch die neue Definition von KRITIS sowie 
die entsprechenden Melde- und Veröffentlichungs- 
pflichten für bekannt gewordene Angriffe oder über 
Sicherheitslücken enthalten sein sollen. 

7. Aus Sicht der Fraktionen der SPD, DIE LINKE, und 
BÜNDNIS 90/DIE GRÜNEN sowie der Sachver- 
ständigen Alvar Freude, Constanze Kurz, Annette 
Mühlberg, Prof Dr. Wolfgang Schulz, Lothar 
Schröder und Cornelia Tausch muss der Informa- 
tionsaustausch zwischen den Sicherheitsbehörden für 
die Beurteilung der IT-Sicherheitslage verbessert 
werden. Dies kann nicht nur bei der Prävention hel- 
fen, sondern auch die Reaktionsfähigkeit erheblich 
beschleunigen. Dabei ist es wichtig, dass das Cyber- 
abwehrzentmm einen reinen Informationsaustausch 
anbietet, darüber hinaus jedoch keine neuen Kompe- 
tenzen zusätzlich verteilt und das strikte Trennungs- 
gebot eingehalten wird. Darüber hinaus sollte das 
Cyberabwehrzentrum weiterentwickelt werden, um 
der Komplexität der Cyber-Bedrohungen gerecht zu 
werden. Hierbei sollte neben dem technischen Sach- 
verstand verstärkt auf die interdisziplinäre Zusam- 
mensetzung gedrängt werden. So sollten beispiels- 
weise auch Juristen, Sozialwissenschaftler und die 
Datenschutzbehörden beteiligt werden. 

IT-Sicherheit: Schaffung eines Immunsystems 
der digitalen Gesellschaft 

Sicherheitslücken in Soft- und Hardware können nie 
gänzlich ausgeschlossen werden. Mit geeigneten moder- 
nen Methoden der Software-Entwicklung und Qualitäts- 
kontrolle können diese aber hinsichtlich Anzahl und 
Schwere durchaus eingeschränkt werden. Dies kostet al- 
lerdings Zeit und Geld, ohne dass Kundinnen und Kun- 
den direkt neue Funktionen in der Software bemerken. 
Der Anreiz, in Sicherheit zu investieren, ist daher für 
viele Hersteller gering. 

In den vergangenen Jahrzehnten hat sich der Trend durch- 
gesetzt, den zunehmenden Bedrohungen mit Verschärfun- 
gen des Strafrechts zu begegnen. Die stetig wachsende 
Zahl an Angriffen zeigt jedoch, dass die Bedrohung damit 
nicht reduziert werden konnte. 

Vor diesem Hintergrund wird es für geboten gehalten, ein 
„Immunsystem der digitalen Gesellschaft“ aufzubauen. 
Dazu gehört sowohl, Anreize für die Erstellung sicherer 
Software zu schaffen, als auch den Druck zur schnellen 
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Behebung von Sicherheitslücken weiter zu erhöhen. An- 
griffe und Lücken müssen daher schnellstmöglich identi- 
fiziert sowie gegenüber potenziell Betroffenen kommuni- 
ziert und behoben werden. Zugleich muss gegenüber 
staatlichen Stellen - deren Aufgabe die Aufrechterhal- 
tung der öffentlichen Sicherheit und Ordnung ist ange- 
zeigt werden, wenn Kritische Infrastrukturen betroffen 
sein könnten. 

Viele Angriffe auf informationstechnische Systeme oder 
Sicherheitslücken werden nicht bekannt. Dadurch können 
andere Nutzer der gleichen Software ihre Systeme nicht 
vor Angriffen schützen. Von zunehmender Bedeutung ist 
zudem der Schutz von Cloud-Diensten, denn diese stellen 
für Angreifer attraktive Ziele dar, da hier oft eine Vielzahl 
von unterschiedlichsten Daten gespeichert werden. Umso 
wichtiger ist es, dass die Betroffenen über IT- Sicherheits- 
probleme des jeweiligen Dienstleisters informiert wer- 
den, um ihren IT- Sicherheitsschutz entsprechend anpas- 
sen zu können. Die Fraktionen der SPD, DIE LINKE, und 
BÜNDNIS 90/DlE GRÜNEN sowie die Sachverständi- 
gen Alvar Freude, Constanze Kurz, Annette Mühlberg, 
Prof Dr. Wolfgang Schulz, Lothar Schröder und Cornelia 
Tauschempfehlen dem Deutschen Bundestag deshalb, 

1. eine Regelung zu schaffen, die eine grundsätzliche 
Meldepflicht von bekanntgewordenen und hinsicht- 
lich ihres Gefahrenpotentials näher zu definierenden 
und differenzierenden Angriffen auf staatliche und 
private Stellen an das Bundesamt für Sicherheit in 
der Informationstechnik (im Folgenden BSl genannt) 
beinhaltet - eine solche Meldepflicht ist zwingend 
zur Verbesserung des Lagebildes erforderlich. 

2. das BSl gesetzlich zur Veröffentlichung dieser An- 
griffe zu verpflichten. Dabei kann eine Veröffentli- 
chung grundsätzlich anonym erfolgen; eine anonyme 
Nutzung ist angezeigt, um zu verhindern, dass ange- 
griffene Unternehmen durch diese Meldungen einen 
erheblichen Vertrauensverlust erleiden und aus die- 
sem Grunde die Meldepflicht zu umgehen versuchen. 

3. zu den Ausführungen unter Punkt 2 schnellstmöglich 
Erhebungen über weitere erforderliche personelle 
und finanzielle Ressourcen im BSl durchzuführen. 

4. dass Anbieter von Cloud-Diensten darüber hinaus 
verpflichtet werden sollten, ihre Kunden über er- 
kannte Angriffe zu informieren, damit diese ihren 
Schutz entsprechend anpassen können. 

5. eine gesetzliche Regelung zu schaffen, die Soft- und 
Hardware-Hersteller verpflichtet, ihnen bekannt ge- 
wordene Sicherheitslücken ihrer Software gegenüber 
dem BSl unmittelbar nach Bekanntwerden anzuzei- 
gen. 

6. eine gesetzliche Regelung zu schaffen, nach der alle 
öffentlichen Stellen und Behörden verpflichtet wer- 
den, ihnen bekannt gewordene Sicherheitslücken un- 
mittelbar an das BSl zu melden. 

7. den verstärkten Einsatz freier Software und offener 
Formate zu fordern, die nachweislich eine vermin- 


derte Vulnerabilität gegenüber IT-Angriffen mit sich 
bringt. 

Entdecker von Sicherheitslücken stehen oftmals vor dem 
Problem, dass sie entweder gänzlich ignoriert oder mit zi- 
vil- oder strafrechtlichen Verfahren bedroht werden, 
wenn sie ihre Entdeckung beispielsweise an den Herstel- 
ler einer Software oder Betreiber einer Internet-Anwen- 
dung melden. Daher unterlassen viele solche Meldungen. 
Dies sorgt dafür, dass besfehende Sicherheitslücken nicht 
gestopft und von Kriminellen ausgenutzt werden können, 
beispielsweise wenn Informationen über Lücken auf dem 
Schwarzmarkt gehandelt werden. 

Vor diesem Hintergrund empfehlen die Fraktionen der 
SPD, DIE LINKE, und BÜNDNIS 90/DlE GRÜNEN so- 
wie die Sachverständigen Alvar Freude, Constanze Kurz, 
Annette Mühlberg, Prof Dr. Wolfgang Schulz, Lothar 
Schröder und Cornelia Tausch dem Deutschen Bundes- 
tag, 

8. eine beim BSl angegliederte Meldestelle einzurich- 
ten, bei der jeder (auf Wunsch anonym oder pseudo- 
nymisiert) Meldungen über Sicherheitslücken einrei- 
chen kann, ohne Konsequenzen befürchten zu 
müssen. 

9. zu prüfen, ob und in welchem Umfang die zur Bear- 
beitung der Meldungen entsprechenden personellen 
und finanziellen Ressourcen des BSl aufgestockt 
werden müssen. 

10. eine Weiterleitung der Meldungen an die jeweils ver- 
antwortlichen Hersteller durch die Meldestelle fest- 
zuschreiben und die Behebung der Sicherheitslücken 
zu überprüfen. 

11. eine gesetzliche Regelung zu schaffen, die Sicher- 
heitsforscher und Entdecker von Sicherheitslücken 
vor straf- und zivilrechtlicher Verfolgung schützt, 
wenn diese sich verantwortungsvoll verhalten. 

12. eine gesetzliche Regelung zu schaffen, die interne 
und externe Personen schützt, die Sicherheitslücken 
offenlegen (Whistleblowerschutz). 

Es gibt immer wieder Fälle, in denen die Hersteller von 
Betriebssystemen, Anwendungsprogrammen oder weite- 
rer Software auch Jahre nach Kenntnis von Sicherheitslü- 
cken diese weder beheben noch veröffentlichen. Während 
dieser Zeit können diese Lücken von Kriminellen ausge- 
nutzt werden, ohne dass die betroffenen Anwender die 
Möglichkeit zur Umgehung des Problems haben. Es ist 
daher für die Gesellschaft nützlich, wenn Sicherheitslü- 
cken der Allgemeinheit bekannt werden: Jeder hat dann 
die Möglichkeit, Schutzmaßnahmen zu ergreifen. Zudem 
steigt der Druck auf den Hersteller, das Problem tatsäch- 
lich zu beheben. 

Daher wird dem Deutschen Bundestag empfohlen, 

13. eine gesetzliche Regelung zu schaffen, nach der das 
BSl verpflichtet wird, nach einer Frist von 30 Tagen 
nach Meldung an den Hersteller die Lücke, Details 
dazu und Möglichkeiten zur Beseitigung oder Umge- 
hung des Problems zu veröffentlichen („Full Disclo- 
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sure“). Diese Frist kann in schwierig zu behebenden 
Fällen auf Antrag bis zu zweimal um jeweils 30 Tage 
verlängert werden. 

Für viele Hersteller ist Sicherheit nur ein Kostenfaktor, 
der sich nicht in einem höheren Umsatz niederschlägt. 
Um den ökonomischen Anreiz für sichere Software zu 
steigern, empfehlen die Fraktionen der SPD, DIE LINKE, 
und BÜNDNIS 90/DlE GRÜNEN sowie die Sachver- 
ständigen Alvar Freude, Constanze Kurz, Annette 
Mühlberg, Prof Dr. Wolfgang Schulz, Lothar Schröder 
und Cornelia Tausch dem Bundestag, 

14. zu prüfen, wie Anbieter gegebenfalls auch gesetzlich 
verpflichtet werden könnten, IT-Sicherheit stärker in 
die Produkte zu implementieren. Dies kann beispiels- 
weise durch Produkthaftungsregelungen oder eine 
Beweislastregelung befördert werden. 

Des Weiteren wird dem Bundestag empfohlen, 

15. eine gesetzliche Regelung zu schaffen, die seitens der 
Provider ab einer relevanten Größe eine Erreichbar- 
keit gegenüber dem BSl an sieben Tagen in der Wo- 
che für 24 Stunden gewährleistet. 

16. eine Regelung zu schaffen, die sicherstellt, dass für 
IT-Projekte der öffentlichen Hand von Beginn an Ri- 
siko- und Bedrohungsmodelle (Thread Model) er- 
stellt werden. Dazu gehört ein effizientes Konzept 
zur sicheren Entwicklung sowie eines sicheren Le- 
benszyklus für die Software. Diese sollen öffentlich 
zugänglich sein, so dass sie von unabhängiger Seite 
begutachtet werden können. Dadurch fallen potenti- 
elle Risiken frühzeitig auf und durch die Öffentlich- 
keit wird es erschwert, angebrachte Maßnahmen 
nicht durchzuführen. 

17. unter dem IT- Sicherheitsaspekt auch das „Dilemma“ 
zwischen Wettbewerb und Sicherheit zu prüfen: Ei- 
nige Anbieter schotten ihre Produkte oder Markt- 
plätze ab und errichten hohe Barrieren, während an- 
dere Anbieter ihre Produkte und Marktplätze für den 
Wettbewerb öffnen. Sicherheitsaspekte dürfen nicht 
Vorwand für die Abschottung gegenüber dem Wett- 
bewerb sein. Darum sind Initiativen zu fordern, die 
IT-Sicherheit mit offenen Plattformen und offener 
Software verbinden. 

Darüber hinaus wird empfohlen, 

18. im Bereich des Informatik- Studiums und der Ausbil- 
dung verstärkt den Bereich der Sicherheit und siche- 
rer Software-Entwicklung zu beachten. 

Die bei Mobiltelefonen genutzte GSM-Verschlüsselung 
kann nicht mehr als sicher angesehen werden, seit sie 
2009 kompromittiert und erfolgreiche Angriffe dokumen- 
tiert wurden. Mittlerweile steht für Wirtschaftsspionage 
oder den Bruch der Privatsphäre der Nutzerinnen und 
Nutzer von Mobiltelefonen einfach einzusetzende Soft- 
ware zur Verfügung. 

Die Fraktionen der SPD, DIE LINKE, und BÜNDNIS 90/ 
DIE GRÜNEN sowie die Sachverständigen Alvar Freude, 
Constanze Kurz, Annette Mühlberg, Prof Dr. Wolfgang 


Schulz, Lothar Schröder und Cornelia Tausch fordern die 
Bundesregierung daher auf, 

19. bei den deutschen Unternehmen und insbesondere 
bei den Mitgliedern der GSM Association darauf zu 
drängen, dass im Rahmen der GSM Association 
schnellstmöglich ein neuer Standard für ein sicheres 
Verschlüsselungsverfahren auf den Weg gebracht 
wird. 

Auditierung 

Es wird Bezug auf das Kapitel 4. 2. 2. 6, Seite 79 bis 81 des 
fünften Zwischenberichts der Enquete-Kommission Inter- 
net und digitale Gesellschaft zum Thema Datenschutz, 
Persönlichkeitsrechte*^' genommen und auf die dort ge- 
machten Ausführungen und Handlungsempfehlungen 
zum Thema Regulierte Selbstregulierung und Auditie- 
rung verwiesen. Es wird festgestellt, dass Datenschutzau- 
dits und Datenschutzgütesiegel wesentliche Instrumente 
zur Vertrauensbildung im gegenseitigen Verhältnis von 
Bürgern, Unternehmen und Staat darstellen können. 

Deshalb wird dem Deutschen Bundestag empfohlen, 

1. ein Datenschutzauditgesetz gemäß § 9a BDSG zu 
verabschieden, welches den Unternehmen die Mög- 
lichkeit eines Audits auf freiwilliger Basis bietet und 
dessen Verfahren unbürokratisch, aber verbindlich 
ausgestaltet sein muss. Hierbei sind folgende Punkte 
- angelehnt an das Datenschutz-Behördenaudit des 
Unabhängigen Landeszentrums für den Daten- 
schutz Schleswig-Holstein (ULD)^®^ nach § 43 Ab- 
satz 2 des Landesdatenschutzgesetzes Schleswig- 
Holstein (LDSG SH) - bei der Schaffung eines Da- 
tenschutzaudit-Gesetzes im Besonderen zu beachten: 

a) Zunächst sind Begrifflichkeiten und Gegenstand 
des Datenschutz-Behördenaudits zu klären. 
Gleichzeitig muss das Datenschutzaudit-Zeichen 
festgelegt werden. Es sollten ebenso Audits be- 
reits für Verfahren, die erst in der Planung und 
Entwicklung sind, vergeben werden können (so- 
genanntes Konzept- Audit*^3). 

b) Ebenso bedarf es einer Regelung über die Verein- 
barung über die Durchführung des Auditierungs- 
verfahrens. Diese Regelung sollte u. a. die Schrift- 
form voraussetzen und den Audit-Gegenstand, die 
Auditierungs-Art, die einzelnen Verfahrens- 


Bundestagsdrucksache 17/8999: Fünfter Zwischenbericht der En- 
quete-Kommission Internet und digitale Gesellschaft. Datenschutz, 
Persönlichkeitsrechte. 15. März 2012. Online abrufbar unter: http:// 
dipbt.bundestag.de/dip2 1/btd/ 1 7/089/ 1 708999.pdf 
Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein: 
Hinweise des Unabhängigen Landeszentrums für Datenschutz zur 
Durchführung eines Datenschutz-Behördenaudits nach § 43 Absatz 2 
LDSG. 3. Dezember 2008. Online abrufbar unter: https://www.daten- 
schutzzentrum.de/material/recht/audit.htm 
863 Ygi Unabhängigen Landeszentrums für Datenschutz Schleswig- 
Holstein: Hinweise des Unabhängigen Landeszentrums für Daten- 
schutz zur Durchführung eines Datenschutz-Behördenaudits nach 
§ 43 Absatz 2 LDSG. 3. Dezember 2008, Punkt 2.2. Online abrufbar 
unter: https://www.datenschutzzentrum.de/material/recht/audit.htm 
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schritte, den Ablauf des Verfahrens, den zeitlichen 
Rahmen sowie die damit befassten Personen und 
Funktionen beinhalten. 

c) ln das Auditierungsgesetz muss ebenfalls aufge- 
nommen werden, ob und inwieweit ein Voraudit 
erfolgt und welche Verfahrensschritten hierfür er- 
forderlich sind sowie welche einzelnen Schritte 
für die Durchführung des Behörden- Audits not- 
wendig sind. 

d) Ebenso bedarf es weiterer Voraussetzungen für 
die Erteilung des Audits, wie zum Beispiel die 
Festlegung von Datenschutzzielen, die Einrich- 
tung eines Datenschutzmanagementsystems und 
die Ausarbeitung eines Datenschutzkonzeptes. 
Entsprechende Regelungen, die Art und Weise 
und Umfang beinhalten, sind in den Gesetzent- 
wurf aufzunehmen. 

e) Der Gesetzentwurf muss des Weiteren Regelun- 
gen enthalten, unter welchen Voraussetzungen ge- 
nau eine Zertifizierung und eine Erteilung des Au- 
ditzeichens zu erfolgen hat. Hierbei wird die 
Erteilung der Zertifizierung sowie des Auditzei- 
chens für einen begrenzten Zeitraum,zum Beispiel 
für drei Jahre, vorgeschlagen. 

f) Gleichzeifig muss sich auch eine Regelung in dem 
Gesefz wiederfinden, aus der sich ergibt, wann 
und unter welchen Umständen eine Zertifizierung 
zurückzuziehen ist beziehungsweise zurückgezo- 
gen werden kann. 

g) Im Rahmen von Vergabegesetzen ist eine Ver- 
pflichtung öffentlicher Stellen zu verankern, sol- 
che auditierten beziehungsweise zertifizierten 
Produkte bevorzugt einzusetzen. Soweit keine 
Vergabegesetze bestehen, ist im Rahmen der Aus- 
schreibungen zu berücksichtigen, dass besonders 
datenschutzfreundliche Produkte bevorzugt einge- 
kauft oder genutzt werden. 


Stiftung Datenschutz 

Die Fraktionen der SPD, DIE LINKE, und BÜNDNIS 90/ 
DIE GRÜNEN sowie die Sachverständigen Alvar Freude, 
Constanze Kurz, Annette Mühlberg, Prof Dr. Wolfgang 
Schulz, Lothar Schröder und Cornelia Tausch stellen fest, 
dass die geplante Stiftung Datenschutz, wenn die richtigen 
Vorgaben für die inhaltliche Ausgestaltung gefunden wer- 
den, als wirkungsvolle Plattform vorhandene Angebote 
zusammenführen und so ihrem geplanten Auftrag für Auf- 
klärung und Information gerecht werden kann. Die von der 
Bundesregierung auf den Weg gebrachte Stiftung Daten- 
schutz ist deshalb im Grundsatz zu begrüßen. Sie verwei- 
sen in ihren Ausführungen und Handlungsempfehlungen 
insoweit auf Kapitel 4. 2. 2. 6, Seite 80 bis 81 des fünften 
Zwischenberichts der Enquete-Kommission Internet und 
digitale Gesellschaft zum Thema Datenschutz, Persönlich- 


keitsrechte. Die dort gemachten Ausführungen werden 
bekräftigt und die Bundesregierung wird aufgefordert, bei 
Einsetzung der Stiftung folgende Punkte - die für eine wir- 
kungsvolle Arbeit einer Bundesstiftung Datenschutz mit 
vorstehendem Auftrag unabdinglich sind - zu berücksich- 
tigen: 

1. Die Stiftung ist wirtschaftlich und organisatorisch, 
also finanziell und personell, unabhängig von den zu 
bewertenden Unternehmen und der Exekutive zu or- 
ganisieren. Insbesondere ist 

a) die Besetzung der Stiftungsgremien so zu konzi- 
pieren, dass die Freiheit der Stiftungsorgane bei 
der Willensbildung gewährleistet ist. Der Beirat 
der Stiftung muss hierzu paritätisch mit Vertretern 
der unabhängigen Datenschutzbeauftragten des 
Bundes und der Länder, Verbrauchervertretem so- 
wie Vertretern aus Politik, Wissenschaft und Wirt- 
schaft besetzt sein; 

b) zu gewährleisten, dass die Stiftung ihre Aufgaben 
unabhängig von der datenverarbeitenden Wirt- 
schaft ausführen kann; 

c) die Stiftung so zu konzipieren, dass sie nicht fi- 
nanziell von den privaten datenverarbeitenden 
Unternehmen abhängig wird, welche die zu ent- 
wickelnden Standards und Zertifizierung später 
nutzen; 

d) den Datenschutzbeauftragten des Bundes und der 
Länder bei der Entwicklung der Aufgabenstellung 
der Stiftung entscheidenden Einfluss einzuräu- 
men. 

2. ln der Satzung ist das Verhältnis zu den Datenschutz- 
behörden zu klären. Es ist festzuhalten, dass diesen 
allein die Kontrolle über die Einhaltung der Gesetze 
obliegt und die Aufsichtstätigkeit nicht durch die Ar- 
beit der Stiftung beeinflusst werden darf Ebenso dür- 
fen die von der Stiftung Datenschutz erteilten Audits 
und Gütesiegel keine rechtliche Bindungswirkung 
gegenüber den Datenschutzbehörden entfalten, das 
heißt die Aufsichtsbehörden müssen die entsprechen- 
den Unternehmen dennoch anlassbezogen überprüfen 
dürfen. 

3. Es ist in der Satzung zu regeln, wer die materiellen 
Standards für Zertifizierungsverfahren setzt. Dabei 
sind ein Höchstmaß an Transparenz sowie eine enge 
Kooperation mit den Datenschutzbehörden unab- 
dingbar. 

4. Die Vergabe von Audits kann durch die Stiftung Da- 
tenschutz aufgrund eines bundeseinheitlich gesetz- 
lich festgelegten Auditierungsverfahrens erfolgen. 
Hierfür bedarf es eines Gesefzes im Sinne von § 9a 
BDSG Dabei ist zu beachten, dass bereits existie- 
rende Auditverfahren (wie zum Beispiel in Bremen 
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oder Schleswig-Holstein) in die Ausgestaltung und 
Vergabe eingebunden werden. 

5. Bei der Vergabe von Gütesiegeln durch die Stiftung 
ist darauf zu achten, dass ein einheitliches Gütesiegel 
entwickelt wird und eine inflationäre Handhabung 
bei der Vergabe vermieden wird. Ebenso ist das Ver- 
fahren für die Vergabe transparent zu gestalten. Die 
Gütesiegel sind nur für eine bestimmte Zeit (zum 
Beispiel für zwei Jahre) zu erteilen und müssen tur- 
nusgemäß geprüft werden. 

6. Es ist dafür Sorge zu tragen, dass die Stiftung bei der 
Entwicklung von Standards und Prüfparametem für 
die Vergabe von Gütesiegeln die Weiterentwicklung 
des Datenschutzrechts auf Europäischer Ebene be- 
rücksichtigt. 

7. Im Bereich der Bildung darf die Stiftung Datenschutz 
nicht die Zuständigkeit der Länder verletzen. Die 
Länder sind deshalb mitentscheidend einzubeziehen. 
Schwerpunkt der Stiftungstätigkeit sollte deshalb al- 
lenfalls die außerschulische Bildung sein. 

8. Im Bereich der Aufklärung wird der Stiftung emp- 
fohlen, ein zentrales Informationsportal oder ein vir- 
tuelles Datenschutzbüro (wie derzeit beim ULD 
Schleswig-Holstein praktiziert) zu schaffen. 

9. Die Stiftung Datenschutz sollte perspektivisch auch 
im Bereich der Datenschutzforschung, insbesondere 
der Entwicklung und dem Ausbau von Instrumenten 
des technischen Datenschutzes, tätig werden. Mögli- 
che Tätigkeitsfelder eröffnen sich sowohl im Bereich 
der Koordination der Forschungsmittelvergabe als 
auch für den Bereich eigener Forschungsanstrengun- 
gen. 

Haftung bei Sicherheitsproblemen, Produkthaftung 

Unternehmen, die u. a. ihr Geschäftsmodell auf Closed 
Source Software ausrichten oder öffentliche Internet-An- 
gebote bereitstellen, sollen auch bei Sicherheitslücken 
und daraus resultierenden Schadensfällen entsprechend 
haften. Darüber hinaus besteht Bedarf für mehr Rechtssi- 
cherheit der Anpassung der Haftungstatbestände für Pro- 
dukt- und Gewährleistungshaftung. Deshalb wird dem 
Deutschen Bundestag, 

1. die gesetzliche Anpassung der Haftungsregelungen 
auf digitale Tatbestände empfohlen. Dabei sollte in 
die Haftungstatbestände aufgenommen werden, dass 
dem entwickelnden Unternehmen bei der Entwick- 
lung eines Software- oder Hardware-Produkts eine 
gewisse Sorgfalt hinsichtlich der Genauigkeit und 
Anfälligkeit in Bezug auf Sicherheitslücken ab ver- 
langt werden kann. 

2. empfohlen, zu prüfen, ob und inwieweit eine Beweis- 
lastumkehr im Rahmen dieser Anpassungen zuguns- 
ten des Nutzers geschaffen werden kann, da der Be- 


troffene im Zweifelsfall die Zusammenhänge oft 
nicht richtig darlegen kann. 

Ebenso wurde einheitlich von den Experten in dem Fach- 
gespräch festgestellt, dass es den Intemetnutzem oft an 
einer Sensibilisierung für die Gefahren bei der sicheren 
Intemetnutzung fehlt. Die Fraktionen der SPD, DIE 
LINKE, und BÜNDNIS 90/DlE GRÜNEN sowie die 
Sachverständigen Alvar Freude, Constanze Kurz, Annette 
Mühlberg, Prof Dr. Wolfgang Schulz, Lothar Schröder 
und Cornelia Tausch schließen sich den Experten an und 
empfehlen deshalb dem Deutschen Bundestag, 

3. den Bedarf für weitere finanzielle Mittel für aufklä- 
rende Projekte und Aktionen hinsichtlich bereits vor- 
handener Gütesiegel und Vergleiche in Bezug auf 
ihre Aussagekraft und Qualität gegenüber den Bürge- 
rinnen und Bürgern zu klären und zu prüfen, inwie- 
weit Anreize geschaffen werden können, bestehende 
Angebote zur Vermittlung von Medienkompetenz um 
IT- Sicherheitsaspekte zu ergänzen. 

Einrichtung eines Digitalen Hilfswerks*** 

Dass nicht jede digitale Sicherheitslücke sofort entdeckt 
wird, kann mitunter am fehlenden Know-how oder an der 
Organisation der betreibenden Stelle einer KRITIS lie- 
gen. Hier bedarf es der Unterstützung von Experten, die 
zum Beispiel ihr Wissen und ihre Kenntnis in einer frei- 
willig tätigen Organisation zur Verfügung sfellen. So wird 
dem Deutschen Bundestag empfohlen, 

1. die gegebenenfalls notwendigen gesetzgeberischen 
Voraussetzungen zu schaffen und finanzielle Mög- 
lichkeiten in den Haushalt einzustellen, die die Grün- 
dung eines sogenannten Digitalen Hilfswerks (DHW) 
ermöglichen. Dabei kann eine Gründung ähnlich der 
Bundesanstalt des Technischen Hilfswerks erfolgen 
beziehungsweise über eine Angliederung an diese 
nachgedacht werden. Der Vorteil eines solchen, die be- 
stehenden Sicherheitsstrukturen ergänzenden DHW 
liegt u. a. darin, dass dieses im Gegensatz zu bereits 
bestehenden ehrenamtlichen Strukturen, grundsätz- 
lich weder zeit- noch ortsgebunden agieren kann. 

2. Dieses DHW soll helfen, Sicherheitslücken bei zen- 
tralen Infrastrukturen ausfindig zu machen, diese zu 
analysieren und an das BSl melden. Es soll eine zu- 
sätzliche Unterstützung für Unternehmen und Behör- 
den bieten, die Kritische Infrastrukturen bereitstellen. 
Es soll sie im Krisen- und Notfall (etwa bei erhebli- 
chen Angriffen) durch Personal und Expertise unter- 
stützen. Darüber hinaus könnte es für eine gegensei- 
tige Fort- und Weiterbildung sorgen und mit 
Aktionen zur Aufklärung der Bürgerinnen und Bür- 
ger zu Sicherheitsfragen im Netz sowie für Aktionen 
zur Sensibilisierung für Gefahren fätig sein. 


*<S5 Die Fraktionen DIE LINKE, und BÜNDNIS 90/DIE GRÜNEN tra- 
gen diese Empfehlung nicht mit. 
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Zu Fußnote 827: Ergänzendes Sondervotum der 
Fraktion^ der SPD, DIE LINKE, und BÜNDNIS 90/ 
DIE GRÜNEN und der Sachverständigen Alvar 
Freude, Constanze Kurz, Annette Mühlberg, Prof. 

Dr. Wolfgang Schulz, Lothar Schröder und Cornelia 
Tausch zu den Handlungsempfehlungen zu Kapitel 2 
Sicherheit im Internet: Kriminalität im Internet 

Evaluierung von Eingriffsbefugnissen 

In einem Sondervotum des fünften Zwischenberichts der 
Enquete-Kommission Internet und digitale Gesellschaft 
zum Thema Datenschutz, Persönlichkeitsrechte*^® haben 
die Oppositionsfraktionen und einige der von ihnen be- 
nannten Sachverständigen dem Deutschen Bundestag 
empfohlen, „die bestehenden Aufgaben und Befugnisse 
von Sicherheitsbehörden und Diensten, die mit Grund- 
rechtseingriffen verbunden sind, umfassend hinsichtlich 
ihrer Notwendigkeit, Wirksamkeit und Effizienz sowie 
ihrer grundrechtswahrenden Funktion unabhängig, auf 
wissenschaftlicher Grundlage und ergebnisoffen zu eva- 
luieren.“ Dies ist insbesondere mit Blick auf die verdeck- 
ten Ermittlungsmaßnahmen und auf so weitreichende 
Eingriffe wie Quellen-Telekommunikationsüberwachung 
und Online-Durchsuchung zwingend geboten. Zwar be- 
stehen in zahlreichen Gesetzen, beispielsweise im BKA- 
Gesetz in Bezug auf die Online-Durchsuchung, bereits 
Evaluierungsvorschriften, die jedoch in der Umsetzung 
diesen Ansprüchen zumeist nicht genügen. 

- Die Fraktionen der SPD, DIE LINKE, und BÜNDNIS 
90/DIE GRÜNEN und die Sachverständigen Alvar 
Freude, Constanze Kurz, Annette Mühlberg, Prof 
Dr. Wolfgang Schulz, Lothar Schröder und Cornelia 
Tausch bekräftigen diese Empfehlung und empfehlen 
dem Deutschen Bundestag, eine diesen Ansprüchen 
genügende Evaluation zur Notwendigkeit, Wirksam- 
keit und Effizienz insbesondere der Online-Durchsu- 
chung und der Quellen-Telekommunikationsüberwa- 
chung vorzunehmen. 

- Sie empfehlen darüber hinaus im Rahmen dieser Eva- 
luation zu prüfen, ob - angesichts der technischen wie 
auch der rechtlichen Entwicklungen - der Kembereich 
privater Lebensgestaltung unter den digitalen Bedin- 
gungen noch ausreichend geschützt ist oder ob es hier 
weiterer gesetzlicher Absicherungen bedarf 

- Sie fordern darüber hinaus sicherzustellen, dass das 
verfassungsrechtliche Trennungsgebot zwischen Poli- 
zeien und Nachrichtendiensten zwingend gewahrt 
bleibt. Dies muss auch bei Kooperationen zwischen 
Behörden sichergestellt sein. 

Evaluation der bestehenden Straftatbestände 

Im Bereich der Intemetkriminalität kann festgestellt wer- 
den, dass der Modus Operandi größtenteils schon aus 


Bundestagsdrucksache 17/8999: Fünfter Zwischenbericht der En- 
quete-Kommission Internet und digitale Gesellschaft. Datenschutz, 
Persönlichkeitsrechte. 15. März 2012. Online abrulbar unter: http:// 
dipbt.bundestag. de/dip21/btd/17/089/1708999.pdf 


konventionellen Kommunikationsmitteln bekannt ist. So 
haben sich die Straftaten - vornehmlich aus dem Betrugs- 
bereich - nicht wesentlich geändert.*^’ Spezifische Cy- 
bercrime-Delikte, beispielsweise Identitätsdiebstahl oder 
digitale Schutzgelderpressung, werden heute größtenteils 
durch die Strafrechtsnormen im Bereich der Datendelikte 
(§§ 202a bis 202c, 303, 303b, 263a, 261a StGB) erfasst. 
Eine valide Darstellung der Steigerungsraten dieser De- 
likte ist aufgrund des zum Teil großen Dunkelfeldes, der 
zum Teil nicht entdeckten Taten sowie der häufig vorhan- 
denen Verkettung von Straftaten (siehe „Phishing“) 
schwierig und oftmals fehlerbehaftet. Dennoch kann pro- 
gnostiziert werden, dass sich mit der weiter fortschreiten- 
den Technisierung der Gesellschaft auch in den kommen- 
den Jahren immer mehr Erscheinungsformen von 
Kriminalität ins Internet verlagern oder dort entstehen 
werden.*^* 

- Die Fraktionen der SPD, DIE LINKE, und BÜND- 
NIS 90/DIE GRÜNEN und die Sachverständigen 
Alvar Freude, Constanze Kurz, Annette Mühlberg, 
Prof Dr. Wolfgang Schulz, Lothar Schröder und 
Cornelia Tausch empfehlen vor dem Hintergrund der 
Dynamisierung der Technik Evaluationen der beste- 
henden Straftatbestände und des entsprechenden An- 
passungsbedarfs im weiteren gesetzgeberischen Ver- 
fahren. 

Quellen-Telekommunikationsüberwachung 

Der Einsatz von Software zur Überwachung der Tele- 
kommunikation am Rechner (Quellen-Telekommuni- 
kationsüberwachung, Quellen-TKÜ) stellt einen sehr 
weitgehenden Grundrechtseingriff dar, der aus daten- 
schutzrechtlicher und bürgerrechtlicher Sicht überaus 
problematisch ist. Derart intensive Grundrechtseingriffe 
können angesichts mangelnder ausreichend klarer und 
eindeutig formulierter bereichsspezifischer Rechtsgrund- 
lage, die den Anforderungen, die das Bundesverfassungs- 
gericht zu den genannten Eingriffsmaßnahmen formuliert 
hat, nicht verfassungsgemäß vorgenommen werden. 
Solange aber die Einzelheiten einer Maßnahme nicht ge- 
regelt sind, kann § 201 Absatz 2 BKAG nicht als Vorbild 
dienen.*™ 

- Unabhängig von der Frage, dass die Einsicht in den 
Quelltext entsprechender Überwachungssoftware un- 
verzichtbar für die Überprüfung der Funktionalität ist 


867 Ygi Manske, Mirko: Schriftliche Stellungnahme, vorgelegt im Rah- 
men des Expertengespräches „Sicherheit im Netz“ der Projektgmppe 
Zugang, Struktur und Sicherheit im Netz der Enquete-Kommission 
Internet und Digitale Gesellschaft des Deutschen Bundestages vom 
28. November 2011, S. 1. Online abrulbar unter: http://www.bundes- 
tag.de/intemetenquete/dokumentation/Zugang_Struktur_und_Sicher 
heit_im_Netz/PGZustrSi_20 11-11 -28_oeffentliches_Expertengespra 
ech/PGZuStSi201 1-1 l-28_Expertengespraech_Stellungnahme_ 
Manske.pdf 

868 Vgl. ebd., S. 3. 

869 Ygi dazu Braun, Frank/Roggenkamp, Jan Dirk: Ozapftis - (Un)Zu- 
lässigkeit von „Staatstrojanem“. In: Kommunikation und Recht 
(K&R), 14. Jg. 2011, Heft II, S. 681-686. 

870 Ygl. ebd. 
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und unabhängig von der Frage, ob es möglich ist, 
technische und rechtliche Absicherungen verfassungs- 
konform sicherzustellen sowie die Funktionalitäten 
der Software für die Quellen-Telekommunikations- 
überwachung auf allen Ebenen wirksam auf die Funk- 
tionalität einer Telekommunikationsüberwachung ein- 
zuschränken, ist die geltende Regelung des § 100a 
StPO keine hinreichende Rechtsgrundlage, weil sie 
eine Beeinträchtigung des Grundrechts auf Gewähr- 
leistung der Vertraulichkeit und Integrität informa- 
tionstechnischer Systeme nicht ausreichend berück- 
sichtigt. Zudem enthält diese Vorschrift keine 
Schutzvorkehrungen, um rechtlich und technisch si- 
cherzustellen, dass die Überwachung nur die laufende 
Telekommunikation erfassen würde. Dazu müssten 
Bestimmungen in § 100a StPO Eingang finden, die 
der erhöhten Eingriffsintensität und den technischen 
Besonderheiten der Quellen-TKÜ gerecht werden. 
Darüber hinaus müsste eine Überprüfung des Quell- 
codes vor, während und nach entsprechenden Einsät- 
zen durch die berechtigten Stellen ermöglicht werden. 

Export von Überwachungssoftware beschränken 

Die Ausfuhr von Überwachungs- und Spähsoftware un- 
terliegt nach derzeitigem Recht in Deutschland keiner 
Genehmigungspfiicht. Sie ist nur dann ausfuhrgenehmi- 
gungspfiichtig, wenn sie von den Vorgaben für „Güter mit 
doppeltem Verwendungszweck“ (Dual-Use) oder „als be- 
sonders entwickelt für militärische Zwecke“ entspre- 
chend der Außenwirtschaftsverordnung erfasst werden. 
Exportgenehmigungen werden dann nur bei dem hinrei- 
chenden Verdacht des Missbrauchs zur inneren Repres- 
sion oder zu sonstigen fortdauernden und systematischen 
Menschenrechtsverletzungen verweigert, ln der Praxis 
laufen die bestehenden Regelungen jedoch leer. 

Die Fraktionen der SPD, DIE LINKE, und BÜNDNIS 90/ 
DIE GRÜNEN und die Sachverständigen Alvar Freude, 
Constanze Kurz, Annette Mühlberg, Prof Dr. Wolfgang 
Schulz, Lothar Schröder und Cornelia Tausch empfehlen 
dem Deutschen Bundestag, die Ausfuhrmöglichkeiten für 
Überwachungssoftware- und Spähsoftware sowohl auf 
deutscher als auch auf europäischer und internationaler 
Ebene drastisch zu beschränken und durch gesetzliche 
Ausfuhrbeschränkungen sicherzustellen, dass derartige 
Techniken nicht in Länder geliefert werden, in denen fort- 
dauernd und systematisch Menschenrechtsverletzungen 
begangen werden. Der Deutsche Bundestag ist regelmä- 
ßig über Veränderungen der Ausfuhrbeschränkungen und 
über entsprechende Ausfuhrgenehmigungen zu unterrich- 
ten. 

Transparenz von Forscbnng nnd Entwicklnng von 
Überwacbnngssoftware 

Die Bundesregierung wird aufgefordert, die Öffentlich- 
keit in geeigneter Weise über die Forschung und Entwick- 
lung von Überwachungssoflware und mit dieser ver- 
wandte Technik, insbesondere mit Blick auf deren 
Zielsetzungen und die vorgesehenen Funktionalitäten so- 
wie die damit verbundenen Kosten, zu informieren. Das 


Sicherheitsforschungsprogramm ist dahingehend zu eva- 
luieren, ob und inwieweit die Zielsetzungen der For- 
schungs- und Entwicklungsvorhaben erreicht und welche 
Maßnahmen zum Grundrechtsschutz dabei getroffen wur- 
den. Die Evaluation ist dem Deutschen Bundestag vorzu- 
legen. 

EU-Forscbungsprogramm INDECT 

Bei INDECT handelt es sich um ein Forschungsprojekt 
im Rahmen des 7. Forschungsrahmenprogramms der EU; 
Fördergeber ist die Europäische Union, vertreten durch 
die Europäische Kommission. Ein zentrales Ziel des IN- 
DECT-Projektes ist die intelligente Verarbeitung von In- 
formationen und das automatische Erkennen von Bedro- 
hungen, abnormalen Verhaltens oder Gewalt. Dabei geht 
es um die Entwicklung einer Plattform zur Erfassung und 
zum Austausch operationeller Daten, das heißt von Auf- 
nahmen intelligenter Videokameras zur Aufdeckung von 
Gefahren, die insbesondere von Terrorismus und Schwer- 
verbrechen ausgehen. Der EU-Zuschuss für das INDECT- 
Projekt beträgf 10,9 Mio. Euro. Für die Gewährung der 
Finanzhilfen werden die zur Förderung ausgewählten 
Projekte einer ethischen Prüfung unterzogen. Diese ethi- 
sche Prüfung auf europäischer Ebene kam zu dem Ergeb- 
nis, dass das Projekt förderfähig sei. 

Die Fraktionen der SPD, DIE LINKE, und BÜNDNIS 90/ 
DIE GRÜNEN und die Sachverständigen Alvar Freude, 
Constanze Kurz, Annette Mühlberg, Prof Dr. Wolfgang 
Schulz, Lothar Schröder und Cornelia Tausch stellen fest, 
dass diese Ziele des Forschungsprojektes kaum mit euro- 
päischen und deutschen Grundrechten in Einklang ge- 
bracht werden können und auch den Datenschutzvorga- 
ben auf deutscher und europäischer Ebene diametral 
zuwiderlaufen. Aus diesen Grund sprechen sie sich in al- 
ler Deutlichkeit gegen die Entwicklung und den Einsatz 
derartiger Technologien aus und fordern die Bundesregie- 
rung auf, 

1. dieses und ähnliche EU-Forschungsvorhaben nicht 
weiter zu unterstützen und eine deutsche Beteiligung 
daran auszuschließen; 

2. sich auf europäischer Ebene dafür einzusetzen, dass 
derartige Forschungsprojekte nicht fortgeführt und 
auch nicht finanziell gefördert werden; 

3. den Fortgang des Forschungsprojektes aufmerksam 
zu verfolgen und die Ergebnisse fortlaufend hinsicht- 
lich ihrer Vereinbarkeit mit deutschen und europäi- 
schen Grundrechten zu überprüfen. 

Sensibilisierungskampagnen starten 

Angesichts der aktuellen Warnungen vor Angriffen beim 
mobilen Onlinebanking wird dringend an die Wirtschaft 
appelliert, die IT-Sicherheit entscheidend zu verbessern. 
Darüber hinaus wird dem Deutschen Bundestag empfoh- 
len, die Bundesregierung aufzufordem, neben der Über- 
prüfung von rechtlichen Ergänzungen zur Verbesserung 
der IT-Sicherheit - ähnlich vergleichbaren Initiativen bei- 
spielsweise beim Cloud Computing - eine deutliche Stär- 
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kung von Kampagnen zur Sensibilisierung der Öffent- 
lichkeit vorzunehmen, um auf diese Risiken und die 
entsprechenden Schutzmöglichkeiten aufmerksam zu ma- 
chen. 

Evaluation des „Hackerparagraphen“*’!'*’^ 

Bei der Verabschiedung des Strafrechtsänderungsgesetzes 
zur Bekämpfung der Computerkriminalität und der Neu- 
fassung des § 202 StGB gab es erhebliche Bedenken da- 
hingehend, dass es hierdurch zukünftig sehr problema- 
tisch sein werde, Sicherheitslücken in IT- Systemen von 
Unternehmen aufzuspüren, ohne sich dabei strafbar zu 
machen oder zumindest in die Gefahr geraten, das Gesetz 
zu übertreten. Der Umgang mit sogenannten „Dual use“- 
Programmen wurde als nicht hinreichend klar geregelt 
gesehen, ln diesem Zusammenhang wurde eine erhebli- 
che Beeinträchtigung der Sicherheit von Computersyste- 
men befürchtet. Da sich ein Antrag auf Erlass eines 
Durchsuchungsbeschlusses leicht auf die Strafnorm stüt- 
zen lässt, wurde weiterhin befürchtet, dass es vermehrt zu 
Durchsuchungen in der IT-Branche kommen könnte. Ver- 
bände, Vereine sowie Unternehmen der IT- Sicherheits- 
branche haben vor, während und nach der Änderung der 
Norm auf ihre gravierenden Bedenken hingewiesen. 

Klärung brachte erst eine schriftliche Erörterung durch 
das Bundesverfassungsgericht, die deutlich macht, dass 
die Norm teilweise ihr Ziel verfehlt. Der Anwendungsbe- 
reich wird folglich durch das Gericht beschränkt.*^'* 

Die Strafrechtsänderung ist gesetzestechnisch problema- 
tisch und schafft durch den rechtlichen Wortlaut der weit 
auslegbar gefassten Rechtsnorm Unklarheit und dadurch 
Unsicherheit bei Unternehmen, Universtäten und Mitar- 
beiterinnen und Mitarbeitern im Bereich IT-Sicherheit. Es 
gilt, für die Zukunft zu verhindern, dass die Strafnorm 
weiterhin als Risiko für IT-Firmen und deren Mitarbeiter, 
aber auch für Technikjoumalisfen gesehen wird. Ein 
Rechtfertigungszwang für den Einsafz und die Entwick- 
lung von Software, nur weil sie auch von Kriminellen 
verwendet wird, sollte in Zukunft wegen der kontrapro- 
duktiven Wirkung auf die IT-Sicherheit vermieden wer- 
den. Dass IT- Sicherheitsexperten wegen der entstandenen 
gesetzlichen Unsicherheit Deutschland meiden, sollte 
durch eine präzisere Formulierung der Norm verhindert 
werden. 


Siehe hierzu auch den Vorschlag „Streichung von §202c StGB („Ha- 
ckertoolverbot“)“ aus der Online-Beteiligungsplattform enquetebe- 
teiligung.de, abgebildet in Kapitel 5 Sondervoten. 

Die Fraktion BÜNDNIS 90/DIE GRÜNEN trägt diese Empfehlung 
nicht mit und verweist auf ihr Sondervotum. 

Siehe beispielsweise: Chaos Computer Club (CCC): Stellungnahme 
anläßlich der Verfassungsbeschwerde gegen den § 202c StGB: Der- 
zeitige und zukünftige Auswirkungen der Strafrechtsänderung auf 
die Computersicherheit. 15. Juli 2008. Online abrulbar unter: https:// 
erdgeist.org/archive/46halbe/202output.pdf 
^'^■^Bundesverfassungsgericht (BVerfG), Entscheidung vom 18. Mai 
2009 - 2 BvR 2233/07, 1 151/08 und 1524/08. Online abrulbar unter: 
http://www.bundesverfassungsgericht.de/entscheidungen/rk200905 
18 2bvr223307.html 


Die Fraktionen der SPD und DIE LINKE, sowie der 
Sachverständigen Alvar Freude, Constanze Kurz, Annette 
Mühlberg, Prof Dr. Wolfgang Schulz, Lothar Schröder 
und Cornelia Tausch empfehlen daher, 

- im Rahmen der Evaluation der Straftatbestände auch 
die Auswirkungen der Neufassung des § 202a StGB 
auf die Überprüfungsmöglichkeiten von Sicherheitslü- 
cken in Computersystemen und gegebenfalls notwen- 
dige Änderungen zu überprüfen und bei der Überar- 
beitung der Norm auf die Bestrafung des bloßen 
Umgangs mit Computerprogrammen zu verzichten. 

Zu Fußnote 827: Ergänzendes Sondervotum der 
Fraktion BÜNDNIS 90/DIE GRÜNEN und der 
Sachverständigen Annette Mühlberg zu den Hand- 
lungsempfehlungen zu Kapitel 2 Sicherheit im 
Internet: Kriminalität im Internet 

Evaluation des „Hackerparagraphen“*’^ 

Bei der Anhörung von Sachverständigen im Rahmen der 
parlamentarischen Beratung des Strafrechtsänderungsge- 
setzes zur Bekämpfung der Computerkriminalität und der 
Neufassung des § 202 StGB wurden von einigen Sach- 
verständigen Bedenken geäußert, dass es hierdurch zu- 
künftig problematisch sein könnte, Sicherheitslücken in 
IT- Systemen von Unternehmen aufzuspüren, ohne in die 
Gefahr geraten, sich strafbar zu machen. Der Umgang mit 
sogenannten „Dual use“-Programmen wurde von diesen 
Sachverständigen als nicht hinreichend klar geregelt ge- 
sehen. Hierdurch wurde eine gewisse Beeinträchtigung 
der Sicherheit von Computersystemen befürchtet, wie 
auch - bei Einleitung entsprechender Ermittlungsverfah- 
ren - Durchsuchungen in der IT-Branche. 

Nach der Verabschiedung des Gesetzes gab es nur wenige 
Hinweise, ob und inwieweit diese Befürchtungen sich 
letztendlich bewahrheitet haben. 

Das Bundesverfassungsgericht*^® hat in einer Nichtan- 
nahmeentscheidung von Beschwerden gegen die neue 
Strafvorschrift betont, dass nach dem Gesetzeswortlaut, 
seiner Auslegung und der gesetzgeberischen Intention 
sog. „Dual-Use“ -Programme von der Strafvorschrift nicht 
umfasst sind und darüber hinaus die Absicht der Bege- 
hung einer Straftat Tatbestandsvoraussetzung ist. 

Nicht zuletzt um jetzt noch bestehenden Unsicherheiten 
in IT-Sicherheitsuntemehmen und Universitäten zu be- 
gegnen, wird daher empfohlen, im Rahmen der Evalua- 
tion der Straftatbestände auch die Auswirkungen der 
Neufassung des § 202a StGB auf die Möglichkeiten der 
Ausfindigmachung von Sicherheitslücken und Prüfung 
von Sicherheitvorkehrungen in IT-Systemen zu evaluie- 


Siehe hierzu auch den Vorschlag „Streichung von §202c StGB („Ha- 
ckertoolverbot“)“ aus der Online-Beteiligungsplattform enquetebe- 
teiligung.de, abgebildet in Kapitel 5 Sondervoten. 
Bundesverfassungsgericht (BVerfG), Entscheidung vom 18. Mai 
2009 - 2 BvR 2233/07, 1151/08 und 1524/08. Online abrufbar unter: 
http://www.bundesverfassungsgericht.de/entscheidungen/rk20090518 
2bvr223307.html 
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ren und gegebenenfalls europarechtskompatible Präzisie- 
rungen am Gesetzestext vorzunehmen. 

Zu Fußnote 827: Ergänzendes Sondervotum der 
Fraktion DIE LINKE, und der Sachverständigen 
Markus Beckedahl und Constanze Kurz zu den 
Handlungsempfehlungen zu Kapitel 2 Sicherheit 
im Internet: Kriminalität im Internet 

Thema Staatstrojaner 

Die Fraktion DIE LINKE, und die Sachverständigen 
Markus Beckedahl und Constanze Kurz empfehlen der 
Bundesregierung 

- den Kembereich privater Lebensgestaltung unter den 
digitalen Bedingungen stärker gesetzlich zu schützen; 

- die Befugnis der Ermittlungsbehörden der Länder zu 
Online-Durchsuchungen aufzuheben und gänzlich da- 
rauf zu verzichten, informationstechnische Systeme 
mittels Infiltration zu durchsuchen; 

- die Befugnis des Bundeskriminalamts zum verdeckten 
Eingriff in informationstechnische Systeme (§ 20k 
BKAG) und zur Verwendung und Übermittlung sol- 
cher Daten (§ 20v BKAG) aufzuheben; 

- den Quellcode der Trojaner, die im Rahmen der Quel- 
len-Telekommunikationsüberwachungen verwendet 
wurden, zu veröffentlichen und die Öffentlichkeit in 
transparenter Weise über die finanzielle Förderung 
und Erforschung und die Anschaffungskosten von 
Spionage- und Überwachungssoftware sowie ver- 
wandter Technik zu informieren. 

Thema Cyhersicherheit 

Der Begriff Sicherheit hat in den letzten Jahren einen 
schleichenden Bedeutungswandel erfahren. Traditionell 
ist die Schutzpfiicht des Staates für seine Bürger im Sinne 
einer „social security“ verstanden worden, also einer 
Schutzverpfiichtung im Sinne existentieller, kultureller 
und sozialer Existenzsicherung. Dieser bürgerzentrierte 
Schutzgedanke ist in den letzten Jahren jedoch zuneh- 
mend von einem militärischen Sicherheitsbegriff ver- 
drängt worden. Seit es den „Krieg gegen den Terror“ gibt, 
ist die Gefahrenabwehr als Paradigma der Sicherheits- 
politik auf immer weitere, zunehmend auch auf zivilge- 
sellschaftliche Bereiche ausgedehnt worden. Im digitalen 
Zeitalter betrifft dieses Denken auch die Netze, also die 
zentrale Kommunikationsinfrastruktur der modernen Ge- 
sellschaft. 


Vor diesem Hintergrund empfehlen die Fraktion DIE 
LINKE, und die Sachverständigen Markus Beckedahl 
und Constanze Kurz der Bundesregierung die Beachtung 
folgender Punkte: 

- Forschungsgelder, die für zivile Zwecke bestimmt 
sind, dürfen nicht unter der Hand für militärische 
Zwecke benutzt werden. Eine klare Trennung beider 
Bereiche ist hier geboten. Der Forschungsetat des 
Bundes darf nicht zur Förderung von High-Tech-Pro- 
jekten eingesetzt werden, die letztlich primär militäri- 
schen Zwecken dienen. 

- Anbieter von Cloud-Diensten sollten verpflichtet wer- 
den, ihre Kunden über erkannte Angriffe umfassend 
zu informieren. Gerade Clouds stellen für Angreifer 
attraktive Ziele dar, da hier nicht nur die Daten eines 
einzelnen Unternehmens, sondern eine Vielzahl unter- 
schiedlicher Informationen zu bekommen sind. Umso 
wichtiger ist es, dass die Betroffenen über IT-Sicher- 
heitsprob lerne ihres jeweiligen Dienstleisters umfas- 
send informiert werden. 

- Dem grauen Markt sollte das Geld entzogen werden: 
Die Kunden von Exploits, die unerkannte Schwach- 
stellen ausnutzen, sind heutzutage überwiegend Staa- 
ten. Die Aufrüstung für staatsterroristische Akte hat zu 
einem erheblichen Anstieg der Preise geführt, die für 
Zero-Day-Exploits gezahlt werden. Dieses Geld sollte 
eher in die Entwicklung besserer IT-Sicherheit inves- 
tiert werden. 

- Die GSM- Verschlüsselung kann nicht mehr als sicher 
betrachtet werden, seit sie 2009 geknackt wurde. Mitt- 
lerweile steht für den Einbruch in die Privatsphäre der 
Nutzer von Mobiltelefonen einfache Software zur Ver- 
fügung. Die Bundesregierung sollte sich bei der GSM 
Association für ein sicheres Verschlüsselungsverfah- 
ren einsetzen. 

- Die vom AK Kritis des Bundesministerium des Inne- 
ren gehandhabte Definition der Kritischen Infrastruk- 
turen (KRITIS) sollte nicht in einer Weise ausgeweitet 
werden, die befürchten lässt, dass es durch eine solche 
Neudefinition zu einer unverhältnismäßigen Einschrän- 
kung von Grundrechten kommen kann. Vielmehr sollte 
der Begriff der kritischen Infrastrukturen möglichst 
eng gefasst sein und sich an dem konkreten Schutzziel 
einer Sicherung der existenziellen Bedürfnisse der Be- 
völkerung orientieren. 

Auch im Rahmen einer Neudefinition Kritischer Infra- 
strukturen darf es zu keiner Vermischung des Schutzes zi- 
viler Kritischer Infrastrukturen mit Strategien zur militä- 
rischen Cybersicherheit kommen. 
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Kapitel 6 
Anlagen 

Im Rahmen der Arbeit der Projektgruppe fanden mehrere 
Expertengesprächs statt. Die Mitglieder danken den sach- 
verständigen Anhörpersonen für ihre zahlreichen Hin- 
weise und Anregungen sowohl während der Expertenge- 
spräche als auch in ihren schriftlichen Stellungnahmen. 

1 Öffentliches Expertengespräch zum 
Thema „Sicherheit im Netz“ 

Die Projektgruppe hörte in dem am 28. November 2011 
durchgeführten öffentlichen Expertengespräch*^* zum 
Thema „Sicherheit im Netz“ folgende externe Sachver- 
ständige an: 

Gaycken, Dr. Sandro 

(Freie Universität Berlin) 

Heckmann, Univ.-Prof. Dr. jnr. Dirk 

(Institut für IT- Sicherheit und Sicherheitsrecht; Lehrstuhl 
für Öffentliches Recht, Sicherheitsrecht und Internet- 
recht; Forschungsstelle für IT-Recht und Netzpolitik; 
Universität Passau) 

Könen, Andreas 

(Leiter des Fachbereiches Sicherheit in Anwendungen 
und Kritischen Infrastrukturen Koordination und Steue- 
rung, Bundesamt für Sicherheit in der Informationstechnik) 

Manske, Mirko 

(Erster Kriminalhauptkommissar; Sachgebietsleiter des 
Bereiches der Operativen Auswertung Cybercrime; Bun- 
deskriminalamt) 

Schiller, Prof. Dr.-ing. habil. Jochen H. 

(CIO der Freien Universität Berlin; Projektleiter des For- 
schungsforums Öffentliche Sicherheit Institute of Com- 
puter Science; Freie Universität Berlin) 

Schröder, Thorsten 

(IT Security Analyst) 

2 Öffentliches Expertengespräch zum 
Thema „IPv6 - Sicherheitsaspekte“ 

Die Projektgruppe hörte in dem am 21. Mai 2012 durch- 
geführten öffentlichen Expertengespräch*^® zum Thema 


Sämtliche Unterlagen zum öffentlichen Expertengespräch sind on- 
line abrufbar unter: http://www.bundestag.de/intemetenquete/doku 
mentation/Zugang_Stmktur_und_Sicherheit_im_Netz/PGZustrSi_ 

2011- 1 l-28_oeffentliches_Expertengespraech/index.jsp 
Sämtliche Unterlagen zum öffentlichen Expertengespräch sind on- 
line abmfbar unter: http://www.bundestag.de/intemetenquete/doku- 
mentation/Zugang_Stmktur_und_Sicherheit_im_Netz/PGZuStrSi_ 

20 1 2- 05-2 l_oeffentliches_Expertengespraech/index.j sp 


„lPv6 - Sicherheitsaspekte“ folgende externe Sachver- 
ständige an: 

Döring, Gert 

(lPv6-Spezialist bei der SpaceNet AG) 

Fritsche, Wolfgang 

(Leiter des Internet Competence Center der lABG; lPv6- 
Berater mit dem Schwerpunkt „lPv6 Sicherheit“; Mit- 
glied im globalen lPv6-Forum; Mitglied im deutschen 
lPv6 Rat und Initiator der Arbeitsgruppe „lPv6 Security 
und Privacy“) 

Kühn, Ulrich 

(Leiter des Referats für Technikangelegenheiten beim 
Hamburgischen Beauftragten für Datenschutz und Infor- 
mationsfreiheit; Mitglied der Arbeitsgruppe lPv6 des AK 
Technik der Konferenz der Datenschutzbeauftragten des 
Bundes und der Länder) 

Turba, Martin 

(Gruppenleiter Netzinfrastruktur & Projekte; Stellv. Lei- 
ter Fraunhofer Competence Center LAN Fraunhofer-In- 
stitut für Graphische Datenverarbeitung IGD) 

Weber, Christoph 

(Netzwerk und Security Spezialist) 

Zeeb, Björn A. 

(Entwickler und Mitglied des lPv6- und Security-Teams 
beim FreeBSD Projekt) 


3 Nicht öffentliches Expertengespräch zum 
Thema „Internetkriminalität“ 

Auf Einladung des Vorsitzenden Harald Lemke sowie des 
Abgeordneten Jerzy Montag (BÜNDNIS 90/DlE GRÜ- 
NEN) fand am 5. März 2012 ein nicht öffentliches Exper- 
tengespräch zum Thema „Intemetkriminalität“ mit Ober- 
staatsanwalt Rainer Franosch, Leitung der hessischen 
Zentralstelle zur Bekämpfung der Intemetkriminalität 
(ZIT), Generalstaatsanwaltschaft Frankfurt am Main, 
statt. **0 


Die schriftliche Stellungnahme von Oberstaatsanwalt Rainer 
Franosch ist online abmfbar unter: http://www.bundestag.de/intemet 
enquete/dokumentation/Zugang_Stmktur_und_Sicherheit_im_Netz/ 
PGZuStrSi_2012-03-05/PGZuStrSi_2012-03-05_Stellungnahme_ 
OStA_Franosch.pdf 



Drucksache 17/12541 


- 124- 


Deutscher Bundestag - 17. Wahlperiode 


Abkürzungsverzeichnis 


ADSL 

AEUV 

AfriNlC 

AGB 

ANGA 

APNIC 

APT 

ARIN 

B2B 

BBK 

BDSG 

BfDl 

BfV 

BGB 

BGH 

BHG 

BIP 

BIT 

BITKOM 

BKA 

BKAG 

BMBF 

BMI 

BMJ 

BMVg 

BMWi 

BNetzA 

BPol 

BSl 

BSIG 

BVerfG 

BYOD 

CG 

CCC 


Assymmetric Digital Subscriber Line 

Vertrag über die Arbeitsweise der Europäischen Union 

African Network Information Center 

Allgemeine Geschäftsbedingungen 

Verband Deutscher Kabelnetzbetreiber e.V 

Asia Pacific Network Information Centre 

Advanced Persistent Threat 

American Registry for Internet Numbers 

Business-to-Business 

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe 
Bundesdatenschutzgesetz 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit 

Bundesamt für Verfassungsschufz 

Bürgerliches Gesefzbuch 

Bundesgerichtshof 

Bundesgerichtshof 

Bruttoinlandsprodukt 

Bundesstelle für Informationsfechnik 

Bundesverband Informationswirtschafl, Telekommunikation und neue Medien e.V 
Bundeskriminalamt 

Gesetzes über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in 
kriminalpolizeilichen Angelegenheiten 

Bundesministerium für Bildung und Forschung 

Bundesministerium des Innern 

Bundesministerium der Justiz 

Bundesministerium der Verteidigung 

Bundesministerium für Wirtschaft und Technologie 

Bundesnetzagentur 

Bundespolizei 

Bundesamt für Sicherheit in der Informationstechnik 

Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes 

Bundesverfassungsgericht 

Bring Your Own Device 

Cybercrime Convention 

Chaos Computer Club 
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CCITT 

CD-ROM 

GERT 

CIDR 

CUP -Aktionsplan 
CSIS 

CTW-Projekt 

DAF 

DAT POW 

DDoS-Angriff 

DDoS-Angriff 

DFS 

DHCP 

DHW 

DIN 

DSL 

DSLAM 

E3C 

ECCP 

EDV 

EG 

EIN 

ENISA 

EP3R 

EPG 

EPSKl 

EU 

EuroDOCSlS 3.0 

FBI 

FTP 

FTTB 

FTTC 

FTTH 

G8 


Comite Consultatif International Telephonique et Telegraphique 
Compact Disc- Read Only Memory 
Computer Emergency Response Team 
Classless Inter-Domain Routing 

Critical Information Infrastructure Protection-Aktionsplan/ Aktionsplan zum Schutz Kritischer 
Informationsinfrastrukturen 

Center for Strategie and International Studies 

Check the Web-Projekt 

Deutsches Advisory Format 

Defence against Terrorism Program of Work 

Distributed Denial of Service-Angriff 

Distributed Denial of Service-Angriff 

Deutsche Flugsicherung 

Dynamic Host Configuration Protocol 

Digitales Hilfswerk 

Deutsches Institut für Normung e.V. 

Digital Subscriber Line 

Digital Subscriber Line Access Multiplexer 

European Cybercrime Centre/Europäisches Cybercrime Centre 

European Cybercrime Platform 

Elektronische Datenverarbeitung 

Europäische Gemeinschaft 

European Judicial Network/Europäisches Justizielles Netz 

European Network and Information Security Agency/Europäische Agentur für Netz- und Infor- 
mationssicherheit 

European Public-Private Partnership for Resilience 
Electronic Program Guide 

Europäische Programm für den Schutz der Kritischen Infrastrukturen 
Europäische Union 

Euro Data Over Cable Service Interface Specification 3.0 

Federal Bureau of Investigation 

File Transfer Protocol 

Fiber-to-the-Building 

Fiber- to-the-Curb 

Fiber-to-the-Home 

Gruppe der sieben führenden westlichen Industriestaaten einschließlich Russlands 
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GAK 

GG 

GHZ 

GIZ 

GKl 

GPSG 

GSM 

HD-TV 

HFC -Netzwerk 

HSPA-t 

HTCN 

HTCSG 

HTML 

lAB 

lANA 

ICS 

ID 

IEEE 

lESG 

lETF 

IGF 

IKT 

IP 

IPsec 

IPTV 

lPv4 

lPv6 

ISO 

ISP 

IT 

iTAN- Verfahren 

ITU 

ITU-T 

JGG 

JRC 


Gemeinschaftsaufgabe zur Verbesserung der Agrarstruktur und des Küstenschutzes 

Grundgesetz 

Gigahertz 

Gemeinsames Intemetzentrum 

Gemeinsame Kontrollinstanz von Europol 

Geräte- und Produktsicherheitsgesetz 

Global System for Mobile Communications 

High Definition Television 

Hybrid Fiber Coax-Netzwerk 

High Speed Packet Access-t 

G8 24/7 High Tech Crime Network 

G8 Subgroup on High Tech Crime 

Hypertext Markup Language 

Internet Architecture Board 

Internet Assigned Numbers Authority 

Industrial Control Systems/industrielles Kontrollsystem 

Identifier 

Institute of Electrical and Electronics Engineers 

Internet Engineering Steering Group 

Internet Engineering Task Force 

Internet Govemance Forum 

Informations- und Kommunikationstechnologie 

Intemetprotokoll 

Internet Protocol Security 

Internet Protocol Television 

Intemetprotokoll Version 4 

Intemetprotokoll Version 6 

International Organization for Standardization 

Intemet-Service-Provider 

Informationstechnik 

indizierte Transaktionsnummem- Verfahren 
International Telecommunication Union 

International Telecommunication Union - Telecommunication Standardization Sector 

Jugendgerichtsgesetz 

Joint Research Centre 
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Kbit/s 

KITS 

KMU 

KRITI S - Strategi e 

LACNIC 

LDSG SH 

LIR 

LTE 

LÜKEX 

MAC-Adresse 

Mbit/s 

MPG 

ms 

NAT 

NATO 

NGA-Netz 

NPSl 

OECD 

OSl 

OWiG 

PC 

PCCIP 

PKS 

PLC 

PPP 

ProdHaftG 

ProdSG 

PTSG 

Quellen-TKÜ 

RFC 

RIPE NCC 

RIR 

Rn. 

SCADA 


Kilobit pro Sekunde 
Koordinierungsstelle IT-Sieherheit 
Kleine und mittlere Unternehmen 

Nationale Strategie zum Sehutz Kritiseher Infrastrukturen 
Latin Ameriea and Caribbean Network Information Centre 
Landesdatensehutzgesetz Sehleswig-Holstein 
Loeal Internet Registry/lokale Registrierungsorganisation 
Long Term Evolution 

Länderübergreifende Krisenmanagement Exereise 

Media- Aceess-Control- Adresse 

Megabit pro Sekunde 

Gesetz über Medizinprodukte 

Millisekunde 

Network Address Translation 
North Atlantie Treaty Organization 
Next Generation Aceess-Netz 

Nationalen Plan zum Sehutz der Informationsinfrastrukturen 
Organisation for Economic Co-operation and Development 
Open Systems Interconnection 
Gesetz über Ordnungswidrigkeiten 
Personal Computer 

Presidential Commission on Critical Infrastructure Protection 

Polizeiliche Kriminalstatistik 

Programmable Logic Controller 

Public-Private-Partnership 

Produkthaftungsgesetz 

Produktsicherheitsgesetz 

Post- und Telekommunikationssicherstellungsgesetz 
Quellen-Telekommunikationsüberwachung 
Request for Comments 

Reseaux IP Europeens Network Coordination Centre 
Regional Internet Registry/regionale Registrierungsorganisation 
Randnummer 

Supervisory Control And Data Acquisition 
Symmetrie Digital Subscriber Line 


SDSL 
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SPOC 

StGB 

StPO 

TCP/IP 

THW 

TK 

TKG 

TK-lnfrastruktur 

TMG 

TÜV 

ULD 

UMTS 

UN 

UNODC 

UP Bund 

UP KRITIS 

USB-Stick 

UWG 

VDSL 

VolP 

VPN 

W3C 

WIK 

WlNKl 

WLAN 

ZaRD 

ZKA 

ZSGÄndG 

ZSKG 


Single Point of Contact 

Strafgesetzbuch 

Strafprozessordnung 

Transmission Control Protocol/lntemet Protocol 

Technisches Hilfswerk 

Telekommunikation 

Telekommunikationsgesetz 

Telekommunikationsinfrastruktur 

Telemediengesetz 

Technischer Überwachungsverein 

Unabhängiges Landeszentrums für den Datenschutz Schleswig-Holstein 
Universial Mobile Telecommunications System 
United NationsWereinte Nationen 
United Nations Office on Drugs and Crime 

Umsetzungsplan für die Gewährleistung der IT-Sicherheit in der Bundesverwaltung 

Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen 

Universal Serial Bus-Stick 

Gesetz gegen den unlauteren Wettbewerb 

Very High Speed Digital Subscriber Line 

Voice over IP 

Virtual Private Network 

World Wide Web Consortium 

Wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste 
Warn- und Informationsnetzes für Kritische Infrastrukturen 
Wireless Local Area Network 

Zentralstelle für anlassunabhängige Recherchen in Datennetzen 
Zollkriminalamt 

Zivilschutzgesetzänderungsgesetz 
Zivilschutz- und Katastrophenhilfegesetzes 
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